的标识进行第=签名,保证了管理终端接收到的无线接入点的硬件信息未被篡改, 提高了数据的安全性。
[0213] 请参考图8,其示出了本发明实施例提供的一种无线接入点认证系统的结构方框 图,该系统包括:管理终端820、无线接入点840和认证服务器860;
[0214] 管理终端820,用于向认证服务器发送第二信息;
[0215] 无线接入点840,用于向认证服务器发送第一信息;
[0216] 认证服务器860,包括如图6所示实施例或图7所示实施例任一所述的无线接入点 认证装置。
[0217] 需要说明的是:上述实施例提供的无线接入点认证的装置在无线接入点认证时, 仅W上述各功能模块的划分进行举例说明,实际应用中,可W根据需要而将上述功能分配 由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,W完成W上描述的 全部或者部分功能。另外,上述实施例提供的无线接入点认证的装置与无线接入点认证的 方法实施例属于同一构思,其具体实现过程详见方法实施例,运里不再寶述。
[0218] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0219] 本领域普通技术人员可W理解实现上述实施例的全部或部分步骤可W通过硬件 来完成,也可W通过程序来指令相关的硬件完成,所述的程序可W存储于一种计算机可读 存储介质中,上述提到的存储介质可W是只读存储器,磁盘或光盘等。
[0220] W上所述仅为本发明的较佳实施例,并不用W限制本发明,凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1. 一种无线接入点认证方法,其特征在于,所述方法包括: 无线接入点向认证服务器发送第一信息,所述第一信息包括:所述无线接入点的硬件 信息和与所述无线接入点对应的第一公钥; 管理终端向所述认证服务器发送第二信息,所述第二信息包括:所述无线接入点的硬 件信息和所述无线接入点的拥有者信息; 所述认证服务器在接收到所述第二信息后,对所述硬件信息和所述拥有者信息进行身 份认证,在所述身份认证通过时,将所述无线接入点添加至可信任无线接入点列表,并存储 与所述无线接入点对应的第一公钥。2. 根据权利要求1所述的方法,其特征在于,所述无线接入点向认证服务器发送第一信 息,包括: 所述无线接入点使用与所述无线接入点对应的第一私钥对所述第一信息进行第一签 名,向所述认证服务器发送所述第一信息和所述第一签名。3. 根据权利要求2所述的方法,其特征在于,所述第一信息还携带有第一随机数; 所述无线接入点向所述认证服务器发送携带所述第一信息和所述第一签名之后,还包 括: 所述认证服务器向所述无线接入点发送反馈信息和第二签名,所述第二签名是所述认 证服务器使用与所述认证服务器对应的第二私钥对所述反馈信息进行的签名,所述反馈信 息包括与所述认证服务器对应的第二公钥和第二随机数; 所述认证服务器根据所述第一随机数、所述第二随机数和与所述无线接入点对应的第 一公钥计算得出第一密钥,使用所述第一密钥对发送给所述无线接入点的信息进行加密; 和/或,所述无线接入点根据所述第一随机数、所述第二随机数和与所述认证服务器对应的 第二公钥计算得出第二密钥,使用所述第二密钥对发送给所述认证服务器的信息进行加 I_L| 〇4. 根据权利要求1至3任一所述的方法,其特征在于,所述管理终端向所述认证服务器 发送第二信息之前,还包括: 所述管理终端向所述无线接入点发送获取请求,所述获取请求用于获取所述无线接入 点的硬件信息; 所述无线接入点向所述管理终端发送所述硬件信息。5. 根据权利要求4所述的方法,其特征在于,所述获取请求中携带有所述管理终端的标 识,所述管理终端存储有所述第一公钥; 所述无线接入点向所述管理终端发送所述硬件信息,包括: 所述无线接入点使用与所述无线接入点对应的所述第一私钥,对全部或部分硬件信息 和所述管理终端的标识进行第三签名,向所述管理终端发送所述硬件信息和所述第三签 名。6. 根据权利要求5所述的方法,其特征在于,所述认证服务器将所述无线接入点添加至 可信任无线接入点列表之后,还包括: 所述管理终端向所述认证服务器发送列表获取请求,所述列表获取请求用于获取所述 认证服务器中的认证网络列表,所述认证网络列表是所述可信任无线接入点提供的各个可 信服务集标识SSID的列表; 所述认证服务器向所述管理终端发送所述认证网络列表。7. 根据权利要求6所述的方法,其特征在于,所述认证服务器向所述管理终端发送所述 认证网络列表之后,还包括: 所述管理终端向所述认证服务器发送取消绑定请求,所述取消绑定请求包括所述无线 接入点提供的可信服务集标识SSID; 所述认证服务器根据所述取消绑定请求,在所述认证网络列表中删除所述可信服务集 标识SSID。8. -种无线接入点认证方法,其特征在于,所述方法包括: 接收无线接入点发送的第一信息,所述第一信息包括:所述无线接入点的硬件信息和 与所述无线接入点对应的第一公钥; 接收管理终端发送的第二信息,所述第二信息包括:所述无线接入点的硬件信息和所 述无线接入点的拥有者信息; 在接收到所述第二信息后,对所述硬件信息和所述拥有者信息进行身份认证,在所述 身份认证通过时,将所述无线接入点添加至可信任无线接入点列表,并存储与所述无线接 入点对应的第一公钥。9. 根据权利要求8所述的方法,其特征在于,所述接收无线接入点发送的第一信息,包 括: 接收所述无线接入点发送的所述第一信息和第一签名,所述第一签名是所述无线接入 点使用与所述无线接入点对应的第一私钥对所述第一信息进行的签名。10. 根据权利要求9所述的方法,其特征在于,所述第一信息还携带有第一随机数; 所述接收所述无线接入点发送的所述第一信息和第一签名之后,还包括: 向所述无线接入点发送反馈信息和第二签名,所述第二签名是所述认证服务器使用与 所述认证服务器对应的第二私钥对所述反馈信息进行的签名,所述反馈信息包括与所述认 证服务器对应的第二公钥和第二随机数; 根据所述第一随机数、所述第二随机数和与所述无线接入点对应的第一公钥计算得出 第一密钥,使用所述第一密钥对发送给所述无线接入点的信息进行加密。11. 根据权利要求8至10任一所述的方法,其特征在于,所述将所述无线接入点添加至 可信任无线接入点列表之后,还包括: 接收所述管理终端发送的列表获取请求,所述列表获取请求用于获取所述认证服务器 中的认证网络列表,所述认证网络列表是所述可信任无线接入点提供的各个可信服务集标 识SSID的列表; 向所述管理终端发送所述认证网络列表。12. 根据权利要求11所述的方法,其特征在于,所述向所述管理终端发送所述认证网络 列表之后,还包括: 接收所述管理终端发送的取消绑定请求,所述取消绑定请求包括所述无线接入点提供 的可信服务集标识SSID; 根据所述取消绑定请求,在所述认证网络列表中删除所述可信服务集标识SSID。13. -种无线接入点认证装置,其特征在于,所述装置包括: 第一接收模块,用于接收无线接入点发送的第一信息,所述第一信息包括:所述无线接 入点的硬件信息和与所述无线接入点对应的第一公钥; 第二接收模块,用于接收管理终端发送的第二信息,所述第二信息包括:所述无线接入 点的硬件信息和所述无线接入点的拥有者信息; 身份认证模块,用于在接收到所述第二信息后,对所述硬件信息和所述拥有者信息进 行身份认证,在所述身份认证通过时,将所述无线接入点添加至可信任无线接入点列表,并 存储与所述无线接入点对应的第一公钥。14. 根据权利要求13所述的装置,其特征在于,所述第一接收模块,还用于接收所述无 线接入点发送的所述第一信息和第一签名,所述第一签名是所述无线接入点使用与所述无 线接入点对应的第一私钥对所述第一信息进行的签名。15. 根据权利要求14所述的装置,其特征在于,所述第一信息还携带有第一随机数; 所述装置还包括: 反馈发送模块,用于向所述无线接入点发送反馈信息和第二签名,所述第二签名是所 述认证服务器使用与所述认证服务器对应的第二私钥对所述反馈信息进行的签名,所述反 馈信息包括与所述认证服务器对应的第二公钥和第二随机数; 密钥计算模块,用于根据所述第一随机数、所述第二随机数和与所述无线接入点对应 的第一公钥计算得出第一密钥,使用所述第一密钥对发送给所述无线接入点的信息进行加 I_L| 〇16. 根据权利要求13至15任一所述的装置,其特征在于,所述装置还包括: 请求接收模块,用于接收所述管理终端发送的列表获取请求,所述列表获取请求用于 获取所述认证服务器中的认证网络列表,所述认证网络列表是所述可信任无线接入点提供 的各个可信服务集标识SSID的列表; 列表发送模块,用于向所述管理终端发送所述认证网络列表。17. 根据权利要求16所述的方法,其特征在于,所述装置还包括: 取消接收模块,用于接收所述管理终端发送的取消绑定请求,所述取消绑定请求包括 所述无线接入点提供的可信服务集标识SSID; 信息删除模块,用于根据所述取消绑定请求,在所述认证网络列表中删除所述可信服 务集标识SSID。18. -种无线接入点认证系统,其特征在于,所述系统包括:认证服务器、无线接入点和 管理终端; 所述认证服务器包括如权利要求13至17任一所述的无线接入点认证装置; 所述无线接入点,用于向所述认证服务器发送第一信息; 所述管理终端,用于向所述认证服务器发送第二信息。
【专利摘要】本发明公开了一种无线接入点认证方法、装置及系统,属于网络安全领域。本发明通过无线接入点向认证服务器发送第一信息;管理终端向认证服务器发送第二信息;认证服务器在接收到第二信息后,对硬件信息和拥有者信息进行身份认证,在身份认证通过时,将无线接入点添加至可信任无线接入点列表;解决了现有的认证方法,认证服务器会将假冒的公众Wi-Fi默认为可信任的公众Wi-Fi,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,使得只有真实的无线接入点才可以通过认证服务器的身份认证,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
【IPC分类】H04W48/16, H04W12/08
【公开号】CN105554760
【申请号】CN201610067779
【发明人】朱戈, 唐文宁, 杨志伟, 付火平, 陈水明, 徐森圣
【申请人】腾讯科技(深圳)有限公司
【公开日】2016年5月4日
【申请日】2016年1月29日