一种公共无线网络接入方法及装置与流程

本发明涉及通信技术领域，具体涉及一种公共无线网络接入方法及装置。

背景技术：

目前支持wifi功能的手机已经广泛普及，同时，各大商业楼宇以及机场、车站、公交车等公共场所内都基本实现了wifi的覆盖。这些wifi的提供者有些是电信运营商，有些则是商户自身。而这些wifi热点由于乏统一管理，难免其中混杂一些带有不良意图的wifi热点。

现有的wifi热点接入通常只涉及热点名称和接入密码两条信息，移动终端用户通过搜寻热点并输入密码建立与ap的连接，而有些免费的wifi热点甚至于不需要密码即可接入。

在现有的这种公共无线网络接入方案中，用户无法判断当前连接的wifi热点是否可信。用户使用移动终端连接这些wifi热点时，如果这些热点恶意收集用户信息，很可能导致用户个人信息泄露。随着移动支付、快捷支付的普及，包括各类互联网账号及密码等用户信息的泄露，可能会造成用户的银行卡号、身份证号、银行密码等重要敏感信息泄露，会给用户带来巨大的财产损失。

因此，亟需一种公共无线网络接入方案以解决上述技术问题。

技术实现要素：

本发明针对现有技术中存在的上述不足，提供一种公共无线网络接入方法及装置，用以至少部分解决公共无线网络接入安全性差的问题。

本发明为解决上述技术问题，采用如下技术方案：

本发明提供一种公共无线网络接入方法，应用于包括认证服务器、移动终端和无线访问接入点ap的系统中，移动终端中存储有认证服务器下发的第一数字证书，ap中存储有认证服务器下发的第二数字证书；所述方法包括：

移动终端生成随机码，并向所述ap发送携带所述随机码的dhcp请求，以使所述ap与认证服务器根据所述第二数字证书验证所述随机码；

所述移动终端接收所述ap发送的dhcp响应，若从dhcp响应中获取到ip地址和已签名并加密的随机码，则根据第一数字证书解密并验证所述已签名并加密的随机码，所述已签名并加密的随机码是认证服务器签名并加密的随机码；若验证通过，则配置所述ip地址，并建立与所述ip地址对应的ap的连接。

本发明还提供一种公共无线网络接入方法，应用于包括认证服务器、移动终端和无线访问接入点ap的系统中，认证服务器向移动终端下发第一数字证书，并向ap下发第二数字证书；所述方法包括：

认证服务器接收ap发送的随机码，所述随机码是ap对从移动终端发送的dhcp请求中获取到的随机码根据第二数字证书签名并加密后得到的；

认证服务器解密所述随机码，并验证所述随机码的签名，若解密成功且签名验证通过，则根据认证服务器的私钥对所述随机码进行签名和加密；

认证服务器向ap发送所述根据认证服务器的私钥签名并加密的随机码，以使ap将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端，并使移动终端根据第一数字证书解密并验证。

本发明还提供一种公共无线网络接入方法，应用于包括认证服务器、移动终端和无线访问接入点ap的系统中，移动终端中存储有认证服务器下发的第一数字证书，ap中存储有认证服务器下发的第二数字证书；所述方法包括：

ap接收移动终端发送的dhcp请求，获取其中携带的随机码，并根据第二数字证书对所述随机码签名并加密；

所述ap向认证服务器发送已根据第二数字证书签名并加密的随机码，以使认证服务器解密并验证所述随机码；

所述ap接收认证服务器发送的随机码，所述随机码是认证服务器对所述随机码解密成功且签名验证通过后，根据认证服务器的私钥签名并加密的随机码；

所述ap为所述移动终端分配ip地址，并向所述移动终端返回dhcp响应，其中携带有所述ip地址和根据认证服务器的私钥签名并加密的随机码，以使所述移动终端根据第一数字证书解密并验证所述随机码，并在解密成功且验证通过后，与本设备建立连接。

本发明还提供一种移动终端，包括：随机码生成模块、收发模块、获取模块、验证模块和dhcp连接模块，所述验证模块内存储有认证服务器下发的第一数字证书；

随机码生成模块用于生成随机码；

收发模块用于，向ap发送携带所述随机码的dhcp请求，以使所述ap与认证服务器根据预存在ap内的第二数字证书验证所述随机码；以及，接收所述ap发送的dhcp响应；

获取模块用于，从dhcp响应中获取ip地址和已签名并加密的随机码；

验证模块用于，当所述获取模块从dhcp响应中获取到ip地址和已签名并加密的随机码时，根据第一数字证书解密并验证所述已签名并加密的随机码，所述已签名并加密的随机码是认证服务器签名并加密的随机码；

dhcp连接模块用于，当所述验证模块验证通过时，配置所述ip地址，并建立与所述ip地址对应的ap的连接。

本发明提供还一种认证服务器，包括：第一收发模块、第二收发模块、验证模块和处理模块；

第一收发模块用于，向移动终端下发第一数字证书；

第二收发模块用于，向ap下发第二数字证书；以及，接收ap发送的随机码，所述随机码是ap对从移动终端发送的dhcp请求中获取到的随机码根据第二数字证书签名并加密后得到的；

验证模块用于，解密所述随机码，并验证所述随机码的签名；

处理模块用于，当所述验证模块解密成功且签名验证通过时，根据认证服务器的私钥对所述随机码进行签名和加密，并指示所述第二收发模块向ap发送根据认证服务器的私钥签名并加密的随机码，以使ap将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端，并使移动终端根据第一数字证书解密并验证。

本发明还提供一种ap，包括：第一收发模块、处理模块、第二收发模块和dhcp连接模块，所述处理模块内存储有认证服务器下发的第二数字证书；

第一收发模块用于，接收移动终端发送的dhcp请求；

处理模块用于，获取其中携带的随机码，并根据所述第二数字证书对所述随机码签名并加密；

第二收发模块用于，向认证服务器发送已根据第二数字证书签名并加密的随机码，以使认证服务器解密并验证所述随机码；以及，接收认证服务器发送的随机码，所述随机码是认证服务器对所述随机码解密成功且签名验证通过后，根据认证服务器的私钥签名并加密的随机码；

dhcp连接模块用于，为所述移动终端分配ip地址，并指示所述第一收发模块向所述移动终端返回dhcp响应，其中携带有所述ip地址和根据认证服务器的私钥签名并加密的随机码，以使所述移动终端根据存储的第一数字证书解密并验证所述随机码，并在解密成功且验证通过后，与本设备建立连接，所述第一数字证书是认证服务器下发给所述移动终端的。

本发明通过认证服务器分别向移动终端和ap下发第一数字证书和第二数字证书，由移动终端生成随机码，ap收到这个随机码后，根据第二数字证书与所述认证服务器对该随机码进行验证，在验证通过后，认证服务器对所述随机码签名并加密，移动终端进一步根据第一数字证书解密并验证该随机码，从而判断当前ap是否可信，并确定是否与该ap建立连接。在本发明的方案中，移动终端、认证服务器和ap对长度和字符不定的随机码进行验证，且认证服务器分别为移动终端和ap分配密钥以验证随机码，改变了公共无线网络接入认证的机制，提高公共无线网络接入的安全性和可靠性。

附图说明

图1为本发明的公共无线网络接入的信令流程图之一；

图2为本发明的公共无线网络接入的信令流程图之二；

图3为本发明的移动终端的结构示意图；

图4为本发明的认证服务器的结构示意图；

图5为本发明的ap的结构示意图。

具体实施方式

下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的公共无线网络接入方法应用于包括：认证服务器、移动终端和无线访问接入点ap的系统中，移动终端能够通过与ap建立连接，接入公共无线网络，认证服务器用于对ap进行认证。移动终端中存储有认证服务器下发的第一数字证书，ap中存储有认证服务器下发的第二数字证书。移动终端定期向认证服务器申请第一数字证书，ap定期向认证服务器申请第二数字证书，移动终端和ap向认证服务器申请数字证书的过程后续再详细说明。

第一数字证书至少包括认证服务器公钥，第二数字证书可以包括：认证服务器公钥和ap私钥。需要说明的是，认证服务器向ap下发第二数字证书时，将ap公钥保存在本设备中，ap公钥与ap私钥为ap密钥，二者在验证过程中成对使用。

以下结合图1，对本发明的公共无线网络接入流程进行详细说明。如图1所示，所述公共无线网络接入流程包括以下步骤：

步骤101，移动终端生成随机码。

具体的，移动终端在搜索到ap后，生成一个长度和字符集不定的随机码。

步骤102，移动终端向ap发送携带所述随机码的dhcp请求。

具体的，本发明对dhcp请求的option43选项进行自定义设置，在dhcp请求的option43选项中携带所述随机码，即将所述随机码以明文的方式填写在option43选项中，并将携带有所述随机码的dhcp请求发送给ap。

步骤103，ap与认证服务器根据第二数字证书验证所述随机码，认证服务器在验证通过后，对所述随机码签名并加密并发送给ap。

具体的，ap将所述随机码发送给认证服务器，在此过程中，认证服务器与ap之间根据第二数字证书对所述随机码进行签名验证。在认证服务器对所述随机码验证通过后，认证服务器利用认证服务器私钥对所述随机码签名并加密，并将根据证服务器私钥签名且加密的随机码发送给所述ap。

上述ap与认证服务器根据第二数字证书验证所述随机码的流程后续结合图2再详细描述。

步骤104，移动终端接收所述ap发送的dhcp响应。

具体的，ap接收到认证服务器发送的根据证服务器私钥签名并加密的随机码后，分配ip地址，将所述ip地址填写在dhcp响应的基础字段，并将所述根据证服务器私钥签名并加密的随机码填写在dhcp响应的option43选项中，并向移动终端返回dhcp响应。

需要说明的是，如果ap不支持option43选项自定义扩展，则ap在向移动终端返回的dhcp响应中只携带分配的ip地址，而不包含option43选项，或者即使有option43选项，但其中不包含根据证服务器私钥签名并加密的随机码。

步骤105，移动终端从dhcp响应中获取ip地址和已签名并加密的随机码。

具体的，移动终端从dhcp响应的option43选项获取已签名并加密的随机码。

需要说明的是，当ap不支持option43选项自定义扩展时，移动终端无法从dhcp响应中获取到随机码，此时会提示用户当前网络连接可能不安全，由用户决定是否需要继续使用当前ap。

步骤106，移动终端根据第一数字证书解密并验证所述已签名并加密的随机码。

具体的，所述已签名并加密的随机码是认证服务器签名并加密的随机码。移动终端根据认证服务器公钥解密所述已签名并加密的随机码，将解密的随机码与步骤101中移动终端的生成的随机码相比较，若解密的随机码与步骤101中移动终端的生成的随机码相同，且所述随机码的签名为认证服务器的签名，则验证通过，否则验证未通过。

步骤107，若验证通过，则移动终端配置所述ip地址，并建立与所述ip地址对应的ap的连接。

具体的，若所述随机码验证通过，则移动终端将所述ip地址配置在本地网络连接设备上，此时，移动终端可以安全地通过该ap接入网络。若所述随机码验证未通过，则移动终端在本地网络连接设备上不配置所述ip地址，并不与所述ip地址对应的ap的连接。

通过步骤101-107可以看出，本发明通过认证服务器分别向移动终端和ap下发第一数字证书和第二数字证书，由移动终端生成随机码，ap收到这个随机码后，根据第二数字证书与所述认证服务器对该随机码进行验证，在验证通过后，认证服务器对所述随机码签名并加密，移动终端进一步根据第一数字证书解密并验证该随机码，从而判断当前ap是否可信，并确定是否与该ap建立连接。在本发明的方案中，移动终端、认证服务器和ap对长度和字符不定的随机码进行验证，且认证服务器分别为移动终端和ap分配密钥以验证随机码，改变了公共无线网络接入认证的机制，提高公共无线网络接入的安全性和可靠性。

以下结合图2，详细说明ap与认证服务器根据第二数字证书验证所述随机码的流程。如图2所示，所述流程包括以下步骤：

步骤1031，ap接收移动终端发送的dhcp请求，获取其中携带的随机码，并根据第二数字证书对所述随机码签名并加密。

具体的，ap收到移动终端发送的dhcp请求后，检测dhcp请求中是否包含option43选项，如果包含，则将option43选项中的随机码提取出来。ap根据ap私钥对所述随机码签名，并根据认证服务器公钥加密所述已签名的随机码。

步骤1032，ap将根据第二数字证书签名并加密的随机码发送给认证服务器。

具体的，ap将根据第二数字证书签名并加密后得到的随机码通过密文方式发送给认证服务器，以使认证服务器对该随机码做进一步处理。

步骤1033，认证服务器解密所述随机码，并验证所述随机码的签名。

具体的，认证服务器根据认证服务器私钥解密所述随机码，并根据ap公钥验证所述随机码的签名是否为ap的签名。

步骤1034，若解密成功且签名验证通过，则根据认证服务器的私钥对所述随机码进行签名和加密。

具体的，若认证服务器对所述随机码解密成功，且验证所述签名为ap的签名，则根据认证服务器的私钥对所述随机码进行签名，并根据认证服务器的私钥对所述随机码进行加密。

步骤1035，认证服务器向ap发送所述根据认证服务器的私钥签名并加密的随机码。

具体的，认证服务器将所述根据认证服务器的私钥签名并加密的随机码以密文方式发送给ap，以使ap将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端(即执行步骤104)。

进一步的，在步骤1034之后，还可以执行以下步骤：认证服务器向ap发送所述ap的授信等级，以使ap将所述授信等级发送至移动终端。具体的，可以在步骤1035中，将所述随机码和所述ap的授信等级一同发送给所述ap，以使ap在发送给移动终端的dhcp响应的option43选项中携带所述ap的授信等级。相应的，在步骤105中，移动终端从dhcp响应中还获取所述ap的授信等级并显示，以使移动终端用户根据该ap的授信等级确定是否与该ap建立连接。

至此，ap与认证服务器根据所述第二数字证书验证所述随机码的流程结束。

第一数字证书还可以包括移动终端私钥，认证服务器向移动终端下发第一数字证书时，将移动终端公钥保存在本设备中，移动终端公钥与移动终端私钥为移动终端密钥，二者在验证过程中成对使用。

需要说明的是，第一数字证书与第二数字证书具有生命周期，当其生命周期到达之前，移动终端和ap向认证服务器重申请新的数字证书，从而保证安全性。当第一数字证书过期需要更新时，移动终端可以首先通过上述方法连接到安全的ap，并通过该ap通过ssl连接到认证服务器，下载更新后的第一数字证书。

以下详细说明第一数字证书的更新流程。第一数字证书的更新流程如下：

在第一数字证书的生命周期到达前的预设时刻，移动终端根据移动终端私钥加密数字证书请求标识，并向认证服务器发送携带有已加密的数字证书请求标识的第一数字证书更新请求。认证服务器根据移动终端公钥解密第一数字证书更新请求中的数字证书请求标识。认证服务器在获取到数字证书请求标识后，根据认证服务器私钥加密更新后的第一数字证书。认证服务器向移动终端返回第一数字证书更新响应，其中携带有根据认证服务器私钥加密的更新后的第一数字证书。移动终端根据认证服务器公钥解密所述第一数字证书更新响应中携带的更新后的第一数字证书，并在更新前的第一数字证书的生命周期到达时，在本设备上更新第一数字证书。

第二数字证书的更新流程与第一数字证书的更新流程的区别在于发起第二数字证书更新请求的主体为ap，因此不再赘述。

本发明的公共无线网络接入方案，能够对wifi热点身份由第三方认证服务器进行验证，从而保证移动终端在连接wifi热点时，能够确切知道该热点提供者的身份以及受信等级。移动用户可以根据自己的应用场景决定是否要连接到该wifi热点，或者是否使用该wifi热点发送敏感信息，从而提高安全性。

基于相同的技术构思，本发明实施例还提供一种移动终端，如图3所示，该移动终端可以包括：随机码生成模块31、收发模块32、获取模块33、验证模块34和dhcp连接模块35，验证模块34内存储有认证服务器下发的第一数字证书。

随机码生成模块31用于生成随机码。

收发模块32用于，向ap发送携带所述随机码的dhcp请求，以使所述ap与认证服务器根据预存在ap内的第二数字证书验证所述随机码；以及，接收所述ap发送的dhcp响应。

获取模块33用于，从dhcp响应中获取ip地址和已签名并加密的随机码。

验证模块34用于，当获取模块33从dhcp响应中获取到ip地址和已签名并加密的随机码时，根据第一数字证书解密并验证所述已签名并加密的随机码，所述已签名并加密的随机码是认证服务器签名并加密的随机码。

dhcp连接模块35用于，当验证模块34验证通过时，配置所述ip地址，并建立与所述ip地址对应的ap的连接。

优选的，随机码生成模块31具体用于，在dhcp请求的option43选项携带所述随机码。

获取模块33具体用于，从dhcp响应的option43选项获取到已签名并加密的随机码。

优选的，所述第一数字证书包括认证服务器公钥。

验证模块34具体用于，根据认证服务器公钥解密所述已签名并加密的随机码，根据本设备生成的随机码验证解密后的随机码，并验证所述签名。

基于相同的技术构思，本发明实施例还提供一种认证服务器，如图4所示，该认证服务器可以包括：第一收发模块41、第二收发模块42、验证模块43和处理模块44。

第一收发模块41用于，向移动终端下发第一数字证书。

第二收发模块42用于，向ap下发第二数字证书；以及，接收ap发送的随机码，所述随机码是ap对从移动终端发送的dhcp请求中获取到的随机码根据第二数字证书签名并加密后得到的。

验证模块43用于，解密所述随机码，并验证所述随机码的签名。

处理模块44用于，当验证模块43解密成功且签名验证通过时，根据认证服务器的私钥对所述随机码进行签名和加密，并指示所述第二收发模块向ap发送根据认证服务器的私钥签名并加密的随机码，以使ap将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端，并使移动终端根据第一数字证书解密并验证。

优选的，所述第二数字证书包括：认证服务器公钥和ap密钥，ap密钥包括ap私钥。

验证模块43具体用于，根据认证服务器私钥解密所述随机码，并根据ap公钥验证所述随机码的签名。

进一步的，处理模块44还用于，在根据认证服务器的私钥对所述随机码进行签名和加密之后，指示第二收发模块42向ap发送所述ap的授信等级，以使ap将所述授信等级发送至移动终端。

基于相同的技术构思，本发明实施例还提供一种ap，如图5所示，该ap可以包括：第一收发模块51、处理模块52、第二收发模块53和dhcp连接模块54，处理模块52内存储有认证服务器下发的第二数字证书。

第一收发模块51用于，接收移动终端发送的dhcp请求。

处理模块52用于，获取其中携带的随机码，并根据所述第二数字证书对所述随机码签名并加密。

第二收发模块53用于，向认证服务器发送已根据第二数字证书签名并加密的随机码，以使认证服务器解密并验证所述随机码；以及，接收认证服务器发送的随机码，所述随机码是认证服务器对所述随机码解密成功且签名验证通过后，根据认证服务器的私钥签名并加密的随机码。

dhcp连接模块54用于，为所述移动终端分配ip地址，并指示所述第一收发模块向所述移动终端返回dhcp响应，其中携带有所述ip地址和根据认证服务器的私钥签名并加密的随机码，以使所述移动终端根据存储的第一数字证书解密并验证所述随机码，并在解密成功且验证通过后，与本设备建立连接，所述第一数字证书是认证服务器下发给所述移动终端的。

优选的，所述第二数字证书包括：认证服务器公钥和ap密钥，ap密钥包括ap私钥。

处理模块52具体用于，根据ap私钥对所述随机码签名，并根据认证服务器公钥加密所述已签名的随机码。

优选的，dhcp连接模块54具体用于，在dhcp响应的option43选项中携带根据认证服务器的私钥签名并加密的随机码。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。