0220] 第二、用户终端生成一个随机数B,用户终端根据主密钥、随机数A和随机数B计算 得到本次连接所使用的PTK;用户终端向无线接入点发送消息M2,消息M2中携带有随机数B; 且使用计算得到的PTK中的确认密钥部分对消息M2进行MIC(Message Integrity Code,消 息完整性)认证;
[0221] 第S、无线接入点得到随机数B,并根据主密钥、随机数A和随机数B计算得到本次 连接所使用的PTK,并使用计算得到的PTK中的确认密钥部分对消息M2进行MIC校验。若校验 失败则丢弃消息M2,若校验正确则向用户终端发送消息M3,消息M3中包含一个MIC校验,使 得用户终端核实无线接入点拥有主密钥。
[0222] 第四、用户终端收到消息M3后,对消息M3进行MIC校验,校验成功后装入PTK,并向 无线接入点发送消息M4,消息M4用于表明用户终端已装入PTK。无线接入点在接收到消息M4 后,也装入PTK即完成建立加密无线网络连接的过程。
[0223] 本实施例中无线接入点与用户终端之间完成W P A 2加密协议的核屯、加密算法W WPE2-PEAP(WPE2-PEAP,基于保护信道的认证协议)进行举例说明,但完成WPA2加密协议的 核屯、加密算法还可W包括但不限于:EAP-TLS化XtensibIe Authentication Protocol-Transport Layer Security,基于信道的认证协议和传输层加密协议)、EAP-TTLS/ MSCHAPv2、PEAPvO/EAP-MSCHAPv2、PEAPv1/EAP-GTC、PEAP-I^S(Protected Extensib1e Authentication Protoco^L-Transport Layer Se州rity,基于传输层安全的受保护的可扩 展身份验证协议)、EAP-SIM巧PA-Subscriber Identity Module,基于客户身份识别卡的认 证协议)、EAP-AKA化AP-Authentication and Key Agreement,认证与密钥协商)和6八口-FAST(EAP-Flex;Lble Authentication via Secure I'unneling,基于安全隧道的灵活认证 协议)。
[0224] 可选地,用户终端接入无线接入点的过程如图抓所示。用户终端140向无线接入点 120发送用户名,无线接入点120将用户名转发给认证服务器160,认证服务器160在确认无 线接入点属于可信任无线接入点后与用户终端140进行第一身份认证,在第一身份认证成 功时,分别向用户终端140和无线接入点120发送与用户名对应的主密钥,用户终端140与无 线接入点120 W获取到的主密钥为PMK,协商建立加密无线网络连接。
[0225] 综上所述,本实施例提供的无线网络接入方法,通过用户终端向无线接入点发送 第一接入请求;无线接入点向认证服务器发送第二接入请求;认证服务器在接收到第二接 入请求后,验证无线接入点是否属于可信任无线接入点,在无线接入点属于可信任无线接 入点时与用户终端进行第一身份认证,在第一身份认证成功时与用户终端协商生成主密 钥;认证服务器向无线接入点发送与用户名对应的主密钥;无线接入点与用户终端根据各 自持有的主密钥协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终 端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据W及用户终端 内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认 证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而与用户终端根据各自持 有的主密钥建立加密无线网络连接,提高了用户终端传输的数据W及用户终端内部的数据 安全性的效果。
[0226] 同时,认证服务器与无线接入点之间通过加密通道进行数据传输,提高了传输过 程中数据的安全性。
[0227] 需要说明的一点是,本实施例中对步骤501至步骤506和步骤507的先后顺序不作 具体限制。也即,无线接入点在认证服务器中的认证过程和用户终端向认证服务器注册用 户名和密钥信息的过程之间没有必然的先后顺序;但是与用户终端建立加密无线网络连接 的无线接入点必须是存储于认证服务器的可信任无线接入点。
[0228] 需要说明的另一点是,本发明实施例中,无线接入点与认证服务器在通过加密通 道进行数据传输时,在传输的数据中还可W携带的信息有各自生成的随机数、发送数据的 时间戳等。比如:无线接入点向认证服务器发送数据时,在数据中还携带有无线接入点生成 的随机数、发送该数据的时间戳等信息。本发明实施例无线接入点与认证服务器进行数据 传输过程中,除上述实施例中数据携带的信息外,对数据中还可W携带的信息不作具体限 定。同理,用户终端与认证服务器通过独立通道进行数据传输时,在传输的数据中还可W携 带的信息有各自生成的随机数、发送数据的时间戳等,此处不再寶述。针对数据还可W携带 的信息的变换实施例都是本发明实施例的等同替换实施例,包含在本发明的保护范围之 内。
[0229] 在一个具体的实施例中,假如黑客设置假冒的无线接入点,该假冒的无线接入点 与真实的无线接入点具有完全相同的硬件信息。
[0230] 第一,用户终端在获取到假冒的无线接入点时,向该假冒的无线接入点发送第一 接入请求,该接入请求中携带有用户终端对应的用户名。
[0231] 第二、假冒的无线接入点向认证服务器发送第二接入请求,第二接入请求携带有 用户名。
[0232] 假冒的无线接入点获取与认证服务器对应的第一公钥,并使用与认证服务器对应 的第一公钥对第二接入请求进行加密,并将加密后的第二接入请求发送给认证服务器。
[0233] 第=、认证服务器通过与认证服务器对应的第一私钥对第二接入请求进行解密, 得到与假冒的无线接入点对应的第二公钥和用户名。
[0234] 第四、认证服务器验证与假冒的无线接入点对应的第二公钥是否存在于可信任公 钥集合中。
[0235] 虽然假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息,但与假冒 的无线接入点对应的第二公钥和与真实的无线接入点对应的第二公钥是不相同的,因此, 认证服务器在验证与假冒的无线接入点对应的第二公钥是否存在于可信任公钥集合中时, 会将假冒的无线接入点确定为不可信任无线接入点。认证服务器在确定该无线接入点为假 冒的无线接入点后,不会将与用户名对应的主密钥发送给假冒的无线接入点。
[0236] 综上所述,假如黑客设置假冒的无线接入点,该假冒的无线接入点与真实的无线 接入点具有完全相同的硬件信息时,在图5A所示的实施例提供的无线网络接入方法中,假 冒的无线接入点也无法与用户终端建立加密无线网络连接。在步骤511中,与假冒的无线接 入点对应的第二公钥并不存在于认证服务器存储的可信任公钥集合中,因此被认证服务器 确定为不可信任无线接入点。因此,图5A实施例提供的无线网络接入方法,提高了用户终端 传输的数据W及用户终端内部数据的安全性。
[0237] 请参考图6,其示出了本发明一个实施例提供的无线网络连接装置的结构方框图。 该无线网络连接装置可W通过软件、硬件或者两者的结合实现成为图1中无线接入点的全 部或一部分。该无线网络连接装置包括:
[0238] 第一接收模块610,用于接收用户终端发送的第一接入请求,第一接入请求携带有 用户终端的用户名;
[0239] 第二接收模块620,用于向认证服务器发送第二接入请求,第二接入请求携带有用 户名;
[0240] 密钥接收模块630,用于接收认证服务器发送的与用户名对应的主密钥,主密钥是 认证服务器在接收到第二接入请求后,验证无线接入点属于可信任无线接入点时,与用户 终端进行第一身份认证成功后协商生成的密钥;
[0241 ]网络连接模块640,用于与用户终端根据各自持有的主密钥协商建立加密无线网 络连接。
[0242] 综上所述,本实施例提供的无线网络接入装置,通过接收用户终端发送的第一接 入请求;向认证服务器发送第二接入请求;接收认证服务器发送的与用户名对应的主密钥; 与用户终端根据各自持有的主密钥协商建立加密无线网络连接;解决了用户使用现有的接 入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的 数据W及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接 入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而与用户 终端根据各自持有的主密钥建立加密无线网络连接,提高了用户终端传输的数据W及用户 终端内部的数据安全性的效果。
[0243] 请参考图7,其示出了本发明另一个实施例提供的无线网络连接装置的结构方框 图。该无线网络连接装置可W通过软件、硬件或者两者的结合实现成为图1中无线接入点的 全部或一部分。该无线网络连接装置包括:
[0244] 密钥生成模块710,用于生成与无线接入点对应的第二公钥和第二私钥;
[0245] 公钥获取模块720,用于获取与认证服务器对应的第一公钥;
[0246] 信息发送模块730,用于向认证服务器发送身份认证请求,身份认证请求携带有认 证信息和与无线接入点对应的第二公钥,认证信息和与无线接入点对应的第二公钥均使用 与认证服务器对应的第一公钥进行加密,认证信息至少包括硬件信息和/或拥有者信息。
[0247] 在一种可能的实现方式中,认证信息是通过与无线接入点对应的第二私钥进行加 密的信息。
[0248] 第一接收模块740,用于接收用户终端发送的第一接入请求,第一接入请求携带有 用户终端的用户名。
[0249] 第二接收模块750,用于向认证服务器发送第二接入请求,第二接入请求携带有用 户名。
[0250] 密钥接收模块760,用于接收认证服务器发送的与用户名对应的主密钥,主密钥是 认证服务器在接收到第二接入请求后,验证无线接入点属于可信任无线接入点时,与用户 终端进行第一身份认证成功后协商生成的密钥。
[0251] 在一种可能的实现方式中,密钥接收模块760,还用于接收认证服务器发送的第一 加密后的主密钥,第一加密后的主密钥是认证服务器在无线接入点属于可信任无线接入点 时,使用与无线接入点对应的第二公钥对主密钥进行加密后的主密钥。
[0252] 在另一种可能的实现方式中,密钥接收模块760,还用于接收认证服务器发送的第 二加密后的主密钥,第二加密后的主密钥是认证服务器在无线接入点属于可信任无线接入 点时,使用与无线接入点对应的第二公钥对主密钥进行第一加密,再使用与认证服务器对 应的第一私钥对第一加密后的主密钥进行第二加密后的主密钥。
[0253] 网络连接模块770,用于根据主密钥与用户终端协商建立加密无线网络连接。
[0254] 在第一种可能的实现方式中,网络连接模块770,可W包括:第一解密单元771和第 一连接单元772;
[0255] 第一解密单元771,用于使用与无线接入点对应的第二私钥对第一加密后的主密 钥进行解密,得到主密钥。
[0256] 第一连接单元772,用于与用户终端根据各自持有的主密钥协商建立加密无线网 络连接。
[0257] 在第二种可能的实现方式中,网络连接模块770,可W包括:第二解密单元773、第 =解密单元774和第二连接单元775。
[0258] 第二解密单元773,用于使用与认证服务器对应的第一公钥对第二加密后的主密 钥进行解密,得到第二密文。
[0259] 第=解密单元774,用于使用与无线接入点对应的第二私钥对第二密文进行解密, 得到主密钥。
[0260] 第二连接单元775,用于与用户终端根据各自持有的主密钥协商建立加密无线网 络连接。
[0261 ]其中,第二密文是认证服务器通过与无线接入点对应的第二公钥对主密钥进行加 密的密文。
[0262] 在第=种可能的实现方式中,网络连接模块770,还用于与用户终端使用各自持有 的主密钥,协商生成本次连接所使用的临时密钥,使用临时密钥与用户终端建立加密无线 网络连接。
[0263] 综上所述,本实施例提供的无线网络接入装置,通过接收用户终端发送的第一接 入请求;向认证服务器发送第二接入请求;接收认证服务器发送的与用户名对应的主密钥; 与用户终端根据各自持有的主密钥协商建立加密无线网络连接;解决了用户使用现有的接 入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的 数据W及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接 入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而与用户 终端根据各自持有的主密钥建立加密无线网络连接,提高了用户终端传输的数据W及用户 终端内部的数据安全性的效果。
[0264] 请参考图8,其示出了本发明一个实施例提供的无线网络连接装置的结构方框图。 该无线网络连接装置可W通过软件、硬件或者两者的结合实现成为图1中认证服务器的全 部或一部分。该无线网络连接装置包括:
[0265] 请求接收模块810,用于接收无线接入点发送的第二接入请求,第二接入请求携带 有用户名;
[0266] 信任验证模块820,用于在接收到第二接入请求后,验证无线接入点是否属于可信 任无线接入点;
[0267] 用户认证模块830,用于在无线接入点属于可信任无线接入点时与用户终端进行 第一身份认证;
[0268] 密钥生成模块840,用于在第一身份认证成功时,与用户终端协商生成主密钥,并 向用户终端发送主密钥。
[0269] 密钥发送模块850,用于在无线接入点属于可信任无线接入点时向无线接入点发 送与用户名对应的密钥信息,W便无线接入点与用户终端根据各自持有的主密钥协商建立 加密无线网络连接。
[0270] 综上所述,本实施例提供的无线网络接入装置,通过接收无线接入点发送的第二 接入请求;在接收到第二接入请求后,验证无线接入点是否属