技術領域

本發明涉及通信技術領域，具體涉及一種接入認證方法、無線接入點和用戶終端。

背景技術

隨著智能終端的全面普及以及移動互聯網業務的迅速發展，WLAN呈現出快速發展的態勢，已經成為用戶在家庭和機場、火車站、酒店等公共場所的主要寬帶接入方式。大范圍覆蓋的WLAN也在城市中逐步部署，如中國移動在北京已經部署了近萬個熱點，為城區重點范圍內的用戶提供便捷的WLAN接入。

目前WLAN應用是基于802.1x系列的WIFI協議，其鑒權過程包含企業版和家庭版，家庭版不需接入鑒權，可直接連入網絡；企業版也只是提供了對終端身份的單項認證，加之協議過程都為明文傳輸，存在DOS攻擊、篡改MAC地址、偽裝AP等安全隱患。

現有的802.11協議并未規定對無線接入點(AP)合法性的認證過程，不論是個人版還是企業版的無線接入模式，其區別僅在于是否對終端進行合法性認證，這樣的機制具有較大的安全隱患，一旦攻擊者采用偽裝AP，終端用戶無法識別，將面臨重要信息被竊取、盜用，甚至造成財產損失的風險。

發明內容

針對現有技術中的缺陷，本發明提供一種能夠使得用戶終端對無線接入點進行安全性認證的方法。

第一方面，本發明提供了一種接入認證方法，所述方法包括：

無線接入點在接收到用戶終端發送的接入認證請求消息時，生成雙向認證請求消息并發送到認證服務器；所述接入認證請求消息為符 合WIFI協議標準的消息，其中攜帶有終端數字證書；所述雙向認證請求消息中攜帶有所述終端數字證書以及預先獲取的無線接入點數字證書；

無線接入點接收所述認證服務器根據所述終端數字證書生成的終端認證結果以及根據所述無線接入點數字證書生成的無線接入點認證結果；

無線接入點根據所述終端認證結果判斷所述用戶終端是否通過認證；

所述無線接入點向所述用戶終端發送接入響應消息；其中，所述接入響應消息為符合WIFI協議標準的消息，其中包含所述終端認證結果和所述無線接入點認證結果。

進一步的，所述無線接入點生成雙向認證請求消息并發送到認證服務器，包括：

在接收到的接入認證請求消息中添加預先獲取的無線接入點數字證書得到雙向認證請求消息。

進一步的，所述無線接入點生成雙向認證請求消息并發送到認證服務器，具體包括：

所述無線接入點采用基于自身的無線接入點數字證書中指定的加密算法生成的簽名私鑰對生成的雙向認證請求消息進行加密，并將加密后的雙向認證請求消息發送到認證服務器。

第二方面，本發明提供了一種接入認證方法，該方法包括：

用戶終端向請求接入的無線接入點發送符合WIFI協議標準的接入認證請求消息；所述接入認證請求消息中攜帶有預先獲取的終端數字證書；

用戶終端接收無線接入點發送的符合WIFI協議標準的接入響應消息；所述接入響應消息中攜帶有認證服務器對于所述無線接入點進行認證后生成的無線接入點認證結果以及對所述終端進行認證后生成的終端認證結果；

用戶終端根據所述無線接入點認證結果判斷所述無線接入點是否通過了認證。

進一步的，所述用戶終端向請求接入的無線接入點發送符合WIFI協議標準的接入認證請求消息，包括：

用戶終端生成符合WIFI協議標準的接入認證請求消息；

用戶終端使用基于自身的終端數字證書中指定的加密算法生成的簽名私鑰對生成的接入認證請求消息進行加密；

用戶終端將加密后的接入認證請求消息發送到所述無線接入點。

第三方面，本發明提供了一種無線接入點，包括：

第一通信模塊，用于在接收到用戶終端發送的接入認證請求消息時，生成雙向認證請求消息并發送到認證服務器；所述接入認證請求消息為符合WIFI協議標準的消息，其中攜帶有終端數字證書；所述雙向認證請求消息中攜帶有所述終端數字證書以及預先獲取的無線接入點數字證書；

第二通信模塊，用于接收所述認證服務器根據所述終端數字證書生成的終端認證結果以及根據所述無線接入點數字證書生成的無線接入點認證結果；

判斷模塊，用于根據所述終端認證結果判斷所述用戶終端是否通過認證；

第三通信模塊，向所述用戶終端發送接入響應消息；其中，所述接入響應消息為符合WIFI協議標準的消息，其中包含所述終端認證結果和所述無線接入點認證結果。

進一步的，所述第一通信模塊用于生成雙向認證請求消息并發送到認證服務器，包括：