无线接入点认证方法、装置及系统的制作方法
【技术领域】
[0001] 本发明实施例设及网络安全领域,特别设及一种无线接入点认证方法、装置及系 统。
【背景技术】
[0002] 随着用户终端的广泛使用,无线网络成为用户终端接入互联网的一种重要形式。 常见的无线网络是Wi-FKWireless-Fidelity,无线保真)网络。目前的大部分商业场所均 提供有公众Wi-Fi,供用户免费试用。
[0003] 现有技术中,用户终端在接入公众Wi-Fi时,认证服务器必须要对用户终端进行认 证,只有认证成功后,公众Wi-Fi才能正常转发该用户终端发送的相关数据。在认证服务器 对用户终端的认证过程中,认证服务器对公众Wi-Fi是默认的可信任状态,也即,认证服务 器无需对公众Wi-Fi进行认证。
[0004] 在实现本发明实施例的过程中,发明人发现现有技术至少存在W下问题:
[0005] 由于黑客可W设置假冒的公众Wi-Fi,该假冒的公众Wi-Fi与真实的公众Wi-Fi具 有完全相同的硬件信息,比如SSID。认证服务器会将假冒的公众Wi-Fi默认为可信任的公众 Wi-Fi,利用假冒的公众Wi-Fi转发用户终端发送的数据,使得用户终端向假冒的公众Wi-Fi 所传输的数据W及用户终端内部的数据均会受到安全威胁。
【发明内容】
[0006] 为了解决假冒的公众Wi-Fi会对用户终端产生安全威胁的问题,本发明实施例提 供了一种无线接入点认证方法、装置及系统。所述技术方案如下:
[0007] 根据本发明实施例的第一方面,提供了一种无线接入点认证方法,所述方法包括: [000引无线接入点向认证服务器发送第一信息,所述第一信息包括:所述无线接入点的 硬件信息和与所述无线接入点对应的第一公钥;
[0009] 管理终端向所述认证服务器发送第二信息,所述第二信息包括:所述无线接入点 的硬件信息和所述无线接入点的拥有者信息;
[0010] 所述认证服务器在接收到所述第二信息后,对所述硬件信息和所述拥有者信息进 行身份认证,在所述身份认证通过时,将所述无线接入点添加至可信任无线接入点列表,并 存储与所述无线接入点对应的第一公钥。
[0011] 根据本发明实施例的第二方面,提供了一种无线接入点认证方法,所述方法包括:
[0012] 接收无线接入点发送的第一信息,所述第一信息包括:所述无线接入点的硬件信 息和与所述无线接入点对应的第一公钥;
[0013] 接收管理终端发送的第二信息,所述第二信息包括:所述无线接入点的硬件信息 和所述无线接入点的拥有者信息;
[0014] 在接收到所述第二信息后,对所述硬件信息和所述拥有者信息进行身份认证,在 所述身份认证通过时,将所述无线接入点添加至可信任无线接入点列表,并存储与所述无 线接入点对应的第一公钥。
[0015] 根据本发明实施例的第=方面,提供了一种无线接入点认证装置,所述装置包括:
[0016] 第一接收模块,用于接收无线接入点发送的第一信息,所述第一信息包括:所述无 线接入点的硬件信息和与所述无线接入点对应的第一公钥;
[0017] 第二接收模块,用于接收管理终端发送的第二信息,所述第二信息包括:所述无线 接入点的硬件信息和所述无线接入点的拥有者信息;
[0018] 身份认证模块,用于在接收到所述第二信息后,对所述硬件信息和所述拥有者信 息进行身份认证,在所述身份认证通过时,将所述无线接入点添加至可信任无线接入点列 表,并存储与所述无线接入点对应的第一公钥。
[0019] 根据本发明实施例的第四方面,提供了一种无线接入点认证系统,所述系统包括: 认证服务器、无线接入点和管理终端;
[0020] 所述认证服务器包括如上述第=方面所述的无线接入点认证装置;
[0021 ]所述无线接入点,用于向所述认证服务器发送第一信息;
[0022] 所述管理终端,用于向所述认证服务器发送第二信息。
[0023] 本发明实施例提供的技术方案带来的有益效果是:
[0024] 通过无线接入点向认证服务器发送第一信息;管理终端向认证服务器发送第二信 息;认证服务器在接收到第二信息后,对硬件信息和拥有者信息进行身份认证,在身份认证 通过时,将无线接入点添加至可信任无线接入点列表,并存储与无线接入点对应的第一公 钥;解决了现有的认证方法,认证服务器会将假冒的公众Wi-Fi默认为可信任的公众Wi-Fi, 导致用户终端向假冒的公众Wi-Fi所传输的数据W及用户终端内部的数据均会受到安全威 胁的问题;达到了通过认证服务器对无线接入点进行身份认证,使得只有真实的无线接入 点才可W通过认证服务器的身份认证,提高了用户终端传输的数据W及用户终端内部的数 据安全性的效果。
【附图说明】
[0025] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可W根据运些附图获得其他 的附图。
[0026] 图1是本发明一个示例性实施例提供的无线接入点认证系统的结构示意图;
[0027] 图2是本发明一个实施例提供的无线接入点认证方法的流程图;
[0028] 图3是本发明另一个实施例提供的无线接入点认证方法的流程图;
[0029] 图4是本发明再一个实施例提供的无线接入点认证方法的流程图;
[0030] 图5A是本发明一个实施例提供的无线接入点认证方法的流程图;
[0031] 图5B是本发明另一个实施例提供的无线接入点认证方法的流程图;
[0032] 图5C是本发明再一个实施例提供的无线接入点认证方法的流程图;
[0033] 图6是本发明一个实施例提供的无线接入点认证装置的结构方框图;
[0034] 图7是本发明另一个实施例提供的无线接入点认证装置的结构方框图;
[0035] 图8本发明一个实施例提供的一种无线接入点认证系统的结构方框图。
【具体实施方式】
[0036] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方 式作进一步地详细描述。
[0037] 为了便于理解,首先介绍一些本发明实施例所设及的技术概念。
[0038] 公钥和私钥
[0039] 公钥是指公开的密钥,不需要进行保密,解密方可W通过各种渠道获取;而私钥是 指仅由加密方自身持有的密钥,需要进行保密。一个公钥对应一个私钥;公钥和私钥共同组 成了一种不对称加密方式。不对称加密方式是指用公钥加密的信息只能用对应的私钥进行 解密,使用私钥加密的信息也只能用对应的公钥进行解密。也即,加密和解密使用的密钥是 不相同的。
[0040] 比如:假定A要向B发送加密信息,则A首先要获取与B对应的公钥,然后使用与B对 应的公钥对需要发送的信息进行加密后,将加密后的信息发送给B,B在接收到A发送的加密 的信息后,必须使用与B对应的私钥才可W对加密的信息进行解密,获取加密的信息中的内 容。由于与B对应的私钥只有B自己拥有,因此A发送的加密的信息是安全的。
[0041 ] 加密和签名
[0042] 加密是指发送者使用与接收者对应的公钥对发送的数据进行加密,接收者在接收 到加密的数据后只能使用与接收者对应的私钥进行解密,在解密后才可W获取到发送者发 送的数据;或者,发送者使用与发送者对应的私钥对发送的数据进行加密,接收者在接收到 加密的数据后,只能使用与发送者对应的公钥进行解密,在解密后才可获取到发送者发送 的数据。加密用于防止数据泄露,只有拥有与公钥对应的私钥才可W解密得到数据的内容。
[0043] 签名是指发送者使用与发送者对应的私钥对发送的数据进行签名,签名是指发送 者对发送的数据运用哈希函数计算得到信息摘要,发送者使用与发送者对应的私钥对计算 得到的信息摘要进行加密,发送者将加密后的信息摘要作为数据的签名和数据一起发送给 接收者;接收者在接收到数据和签名后,首先使用与发送者一样的哈希函数从接收到的数 据中计算得出信息摘要,再使用与发送者对应的公钥对加密后的信息摘要进行解密;当两 个信息摘要相同时,接收者可W确认接收到的数据和签名是发送者发送的。。签名用于防止 数据被篡改,拥有与私钥对应的公钥可W验证数据是否是拥有私钥的发送者发送的数据。
[0044] 请参考图1,其示出了本发明一个示例性实施例提供的无线接入点系统的结构示 意图。该无线接入点系统包括:无线接入点120、管理终端140和认证服务器160。
[0045] 无线接入点120可W是路由器、Wi-Fi热点和无线网关等提供无线网络接入服务的 设备的统称。本发明实施例中,W无线接入点120是路由器来举例说明。无线接入点120与管 理终端140之间通过无线网络连接,无线接入点120与用户终端(图中未示出)建立无线网络 连接之前,需要通过认证服务器160对该无线接入点120的身份认证。无线接入点120与认证 服务器160之间通过无线网络或有线网络建立连接。本发明实施例对无线接入点120和认证 服务器160之间的通信方式不做限定。
[0046] 管理终端140可W是手机、平板电脑、电子书阅读器、膝上型便携计算机和台式计 算机等等。可选的,管理终端140中安装有专口用于管理公众Wi-Fi的应用程序,比如,腾讯 QQ、微信、微博等。
[0047] 管理终端140与认证服务器160之间通过无线网络或有线网络建立连接。可选的, 管理终端140通过加密通道向认证服务器160发送信息,其中,加密通道是指管理终端140与 认证服务器160之间的独立通道,比如:使用https通道发送信息。本发明实施例对管理终端 140和认证服务器160之间的通信方式不做限定。
[004引认证服务器160中存储有可信任无线接入点列表、与认证服务器160对应的第二公 钥和第二私钥。可选的,与认证服务器160对应的第二公钥不止一个,不同的第二公钥分别 用于签名、会话等。认证服务器160可W是一台服务器、多台服务器组成的服务器集群或云 计算中屯、。
[0049] 请参考图2,其示出了本发明一个实施例提供的无线接入点认证方法的流程图。本 实施例W该无线接入点认证方法应用于图1所示的认证服务器160中来举例说明。该方法包 括: