技術領域

本發明涉及通信技術領域，具體涉及一種接入認證方法及裝置、無線接入點和用戶終端。

背景技術

隨著智能終端的全面普及以及移動互聯網業務的迅速發展，WLAN呈現出快速發展的態勢，已經成為用戶在家庭和機場、火車站、酒店等公共場所的主要寬帶接入方式。大范圍覆蓋的WLAN也在城市中逐步部署，如中國移動在北京已經部署了近萬個熱點，為城區重點范圍內的用戶提供便捷的WLAN接入。

目前WLAN應用是基于802.1x系列的WIFI協議，其鑒權過程包含企業版和家庭版，家庭版不需接入鑒權，可直接連入網絡；企業版也只是提供了對終端身份的單項認證，加之協議過程都為明文傳輸，存在DOS攻擊、篡改MAC地址、偽裝AP等安全隱患。

現有的802.11協議并未規定對無線接入點(AP)合法性的認證過程，不論是個人版還是企業版的無線接入模式，其區別僅在于是否對終端進行合法性認證，這樣的機制具有較大的安全隱患，一旦攻擊者采用偽裝AP，用戶終端(STA)無法識別，將面臨重要信息被竊取、盜用，甚至造成財產損失的風險。

發明內容

針對現有技術中的缺陷，本發明提供一種能夠使得用戶終端對無線接入點進行安全性認證的方法。

第一方面，本發明提供了一種接入認證方法，包括：

在用戶終端注冊過程中，認證服務器接收用戶終端發送的利用所述終端私鑰簽名加密的終端公鑰信息后，認證服務器利用終端公鑰解 密終端公鑰信息，判斷所述終端發送的信息是否未被篡改，如果未被篡改，結合所述終端的用戶信息，產生終端數字認證證書；并將所產生的終端數字認證證書采用所述認證服務器的私鑰進行加密后發送給所述用戶終端；其中，所述終端公鑰信息對應的終端公鑰和所述終端私鑰為所述終端采用非對稱加密算法引擎生成的公私鑰對；

認證服務器在接收到無線接入點發送的注冊信息后，將頒發者公鑰以及頒發者名稱發送給無線接入點；所述注冊信息包含所述無線接入點的SSID和MAC地址；在接收到無線接入點發送的無線接入點私鑰簽名加密的公鑰信息后，認證服務器利用無線接入點公鑰解密無線接入點公鑰信息，判斷所述無線接入點發送的信息是否未被篡改，如果未被篡改，結合所述無線接入點的注冊信息，產生無線接入點數字認證證書；并將所產生的無線接入點數字認證證書采用所述認證服務器公鑰進行加密后發送給所述無線接入點；所述無線接入點公鑰和所述無線接入點私鑰為所述無線接入點采用非對稱加密算法引擎生成的公私鑰對；

認證服務器接收無線接入點發送的雙向認證請求消息，所述雙向認證請求消息中包含終端數字認證證書和無線接入點數字認證證書；獲取其中的終端數字認證證書和無線接入點數字認證證書；根據所述終端數字認證證書判斷對應的用戶終端是否為合法用戶終端，并生成用戶終端認證結果；根據所述無線接入點數字認證證書判斷對應的無線接入點是否為合法無線接入點，并生成無線接入點認證結果；將所述用戶終端認證結果和所述無線接入點認證結果發送到對應的用戶終端和對應的無線接入點。

進一步的，所述終端公鑰信息中包含終端所請求的有效時間；

所述方法還包括：在生成終端數字認證證書時，生成終端數字認證證書對應的有效時間添加到終端數字認證證書中；

所述認證服務器根據所述終端數字認證證書判斷對應的用戶終端是否為合法用戶，包括：

判斷當前是否處于所述終端數字認證證書中的有效時間，并在判斷為否時，判定對應的用戶終端為非法用戶終端；

和/或；

所述無線接入點公鑰信息中包含無線接入點所請求的有效時間；

所述方法還包括：在生成無線接入點數字認證證書時，生成無線接入點數字認證證書對應的有效時間并添加到無線接入點數字認證證書中；

所述根據所述無線接入點數字認證證書判斷對應的無線接入點是否為合法無線接入點，包括：

判斷當前是否處于所述無線接入點數字認證證書中的有效時間，并在判斷為否時，判定對應的無線接入點為非法無線接入點。

進一步的，所述終端數字認證證書包括用于指示所采用的有效公鑰數字的位數的簽名算法指示字段以及多位公鑰數字；所述多位公鑰數字位于對應的數字認證證書的末尾；所述雙向認證請求消息中還攜帶有利用終端私鑰進行加密的終端簽名；

所述根據所述終端數字認證證書判斷對應的用戶終端是否為合法用戶終端，包括：

根據終端數字認證證書中的簽名算法指示字段確定有效公鑰數字的位數；

從前向后提取相應位數的公鑰數字，并根據提取的公鑰數字獲得用于信息解密的終端公鑰；