无线网络连接方法、装置及系统转让专利
申请号 : CN201610292952.4
文献号 : CN107040922B
文献日 : 2019-11-26
发明人 : 朱戈
申请人 : 腾讯科技(深圳)有限公司
摘要 :
本公开了一种无线网络连接方法、装置及系统,属于网络安全领域。本发明通过用户终端向无线接入点发送接入请求;无线接入点向认证服务器发送密钥查询请求;认证服务器在无线接入点属于可信任无线接入点时向无线接入点发送对应的密钥查询结果;无线接入点获取对应的认证密钥;用户终端生成与自身的MAC地址对应的认证密钥;无线接入点与用户终端根据各自持有的认证密钥协商建立加密无线网络连接;解决了用户终端向假冒的公众Wi‑Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了只有可信任无线接入点能获取认证密钥,从而与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部数据安全性的效果。
权利要求 :
1.一种无线网络连接方法,其特征在于,所述方法包括:
用户终端向无线接入点发送接入请求,所述接入请求携带有所述用户终端的媒体访问控制MAC地址;
所述无线接入点向认证服务器发送密钥查询请求,所述密钥查询请求携带有通过与所述无线接入点的标识对应的会话密钥对所述用户终端的MAC地址进行加密的第一密文;
所述认证服务器在接收到所述密钥查询请求后,验证所述无线接入点是否属于可信任无线接入点,在所述无线接入点属于所述可信任无线接入点时向所述无线接入点发送与所述用户终端的MAC地址对应的密钥查询结果;
所述无线接入点根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥;
所述用户终端生成与自身的MAC地址对应的所述认证密钥;
所述无线接入点与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接;
其中,所述向所述无线接入点发送与所述用户终端的MAC地址对应的密钥查询结果,包括:所述认证服务器使用与所述无线接入点的标识对应的会话密钥对所述第一密文进行解密,得到所述用户终端的MAC地址;
若认证服务器的地址列表中存在所述用户终端的MAC地址,所述认证服务器至少根据所述用户终端的MAC地址和所述无线接入点对应的无线网络的标识生成与所述用户终端MAC对应的所述认证密钥;
所述认证服务器向所述无线接入点发送密钥查询结果,所述密钥查询结果携带有与所述用户终端的MAC地址对应的所述认证密钥;
所述与所述无线接入点的标识对应的会话密钥是在所述无线接入点注册成功时所述认证服务器保存的;所述地址列表是所述认证服务器在所述用户终端注册成功时保存的所述用户终端的MAC地址的列表。
2.根据权利要求1所述的方法,其特征在于,所述认证服务器在接收到所述密钥查询请求后,验证所述无线接入点是否属于可信任无线接入点,包括:所述认证服务器获取所述密钥查询请求中携带的第一密文和所述无线接入点的标识;
所述认证服务器验证所述无线接入点的标识是否属于可信任标识;
若所述无线接入点的标识属于所述可信任标识,则所述认证服务器将所述无线接入点验证为所述可信任无线接入点;
其中,所述第一密文包括所述用户终端的MAC地址,所述可信任标识是指成功通过所述认证服务器的身份认证的无线接入点的标识。
3.根据权利要求2所述的方法,其特征在于,所述认证服务器获取所述密钥查询请求中携带的第一密文和所述无线接入点标识,包括:所述认证服务器通过与所述认证服务器对应的私钥对所述密钥查询请求进行解密,得到第一密文和所述无线接入点的标识;
其中,所述密钥查询请求是所述无线接入点通过与所述认证服务器对应的公钥对所述第一密文和所述无线接入点的标识进行加密的请求。
4.根据权利要求1所述的方法,其特征在于,若认证服务器的地址列表中不存在所述用户终端的MAC地址,还包括:所述认证服务器向所述无线接入点发送密钥查询结果,所述密钥查询结果携带有与所述用户终端的MAC地址对应的错误报告;
其中,所述错误报告是在不存在所述用户终端的MAC地址时,所述认证服务器根据所述用户终端的MAC地址生成的代码。
5.根据权利要求4所述的方法,其特征在于,所述无线接入点与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接之后,还包括:所述无线接入点向所述用户终端发送所述用户终端的MAC地址;
所述用户终端在接收到所述用户终端的MAC地址后,向所述认证服务器发送所述用户终端的绑定信息,所述绑定信息用于指示所述认证服务器为所述用户终端存储对应的MAC地址。
6.根据权利要求1所述的方法,其特征在于,所述认证服务器向所述无线接入点发送密钥查询结果,包括:所述认证服务器使用与所述无线接入点的标识对应的会话密钥对所述密钥查询结果进行第一加密,向所述无线接入点发送第一加密后的所述密钥查询结果。
7.根据权利要求6所述的方法,其特征在于,所述向所述无线接入点发送第一加密后的所述密钥查询结果,包括:所述认证服务器使用与所述认证服务器对应的私钥对第一加密后的所述密钥查询结果进行第二加密,向所述无线接入点发送第二加密后的所述密钥查询结果。
8.根据权利要求7所述的方法,其特征在于,所述无线接入点根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥,包括:所述无线接入点使用与所述认证服务器对应的公钥对第二加密后的所述密钥查询结果进行解密,得到第二密文,所述第二密文是所述认证服务器通过与所述无线接入点的标识对应的会话密钥对所述密钥查询结果进行加密的密文;
所述无线接入点使用与所述无线接入点的标识对应的会话密钥对所述第二密文进行解密,得到所述密钥查询结果中携带的与所述用户终端的MAC地址对应的认证密钥。
9.根据权利要求4所述的方法,其特征在于,所述无线接入点根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥,包括:所述无线接入点接收所述认证服务器发送的所述密钥查询结果;
所述无线接入点获取到所述密钥查询结果中携带的与所述用户终端的MAC地址对应的错误报告后,至少根据所述无线接入点对应的无线网络的标识生成对应的所述认证密钥。
10.根据权利要求1所述的方法,其特征在于,所述用户终端生成与自身的MAC地址对应的所述认证密钥,包括:所述用户终端获取所述无线接入点对应的无线网络的标识;
所述用户终端至少根据所述无线接入点对应的无线网络的标识和所述用户终端的MAC地址生成对应的所述认证密钥。
11.根据权利要求4所述的方法,其特征在于,所述用户终端生成与自身的MAC地址对应的所述认证密钥,包括:所述用户终端获取所述无线接入点对应的无线网络的标识;
所述用户终端至少根据所述无线接入点对应的无线网络的标识生成对应的所述认证密钥。
12.根据权利要求1至11任一所述的方法,其特征在于,所述无线接入点向所述认证服务器发送密钥查询请求之前,还包括:所述无线接入点向所述认证服务器发送身份认证请求,所述身份认证请求携带有认证信息和所述无线接入点的标识,所述认证信息和所述无线接入点的标识均使用与所述认证服务器对应的公钥进行加密,所述认证信息至少包括硬件信息和/或拥有者信息;
所述认证服务器通过与所述认证服务器对应的私钥对所述身份认证请求进行解密,得到所述认证信息和所述无线接入点的标识;
所述认证服务器对所述认证信息进行身份认证,在所述身份认证成功时,将所述无线接入点的标识确定为所述可信任标识。
13.根据权利要求12所述的方法,其特征在于,所述无线接入点向所述认证服务器发送身份认证请求之前,还包括:所述无线接入点向所述认证服务器发送注册请求,所述注册请求包括所述无线接入点的硬件信息;
所述认证服务器根据所述注册请求生成所述无线接入点的标识和与所述无线接入点的标识对应的会话密钥;
所述认证服务器向所述无线接入点发送所述无线接入点的标识和所述会话密钥。
14.根据权利要求13所述的方法,其特征在于,所述认证信息是所述无线接入点通过与所述无线接入点的标识对应的会话密钥进行加密的信息;
所述认证服务器对所述认证信息进行身份认证,包括:
所述认证服务器根据所述无线接入点的标识查询与所述无线接入点的标识对应的会话密钥;
所述认证服务器通过与所述无线接入点的标识对应的会话密钥对所述认证信息进行解密,得到所述硬件信息和/或所述拥有者信息;
所述认证服务器对所述硬件信息和/或所述拥有者信息进行身份认证,在所述身份认证成功时,将所述无线接入点的标识确定为所述可信任标识。
15.根据权利要求1至11任一所述的方法,其特征在于,所述无线接入点与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接,包括:所述无线接入点和所述用户终端使用各自持有的所述认证密钥,协商生成本次连接所使用的临时密钥,使用所述临时密钥建立加密无线网络连接。
16.一种无线网络连接方法,其特征在于,所述方法包括:
接收用户终端发送的接入请求,所述接入请求携带有所述用户终端的媒体访问控制MAC地址;
向认证服务器发送密钥查询请求,所述密钥查询请求携带有通过与本地无线接入点的标识对应的会话密钥对所述用户终端的MAC地址进行加密的第一密文;
接收所述认证服务器发送的与所述用户终端的MAC地址对应的密钥查询结果,所述密钥查询结果是所述认证服务器在接收到所述密钥查询请求后,验证无线接入点属于可信任无线接入点时发送的,所述密钥查询结果携带有与所述用户终端的MAC地址对应的所述认证密钥;
根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥;
与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接;
所述认证密钥采用下述方式确定:
所述认证服务器使用与所述无线接入点的标识对应的会话密钥对所述第一密文进行解密,得到所述用户终端的MAC地址;
若认证服务器的地址列表中存在所述用户终端的MAC地址,所述认证服务器至少根据所述用户终端的MAC地址和所述无线接入点对应的无线网络的标识生成与所述用户终端MAC对应的所述认证密钥;
所述与所述本地无线接入点的标识对应的会话密钥是在所述本地无线接入点注册成功时所述认证服务器保存的;所述地址列表是所述认证服务器在所述用户终端注册成功时保存的所述用户终端的MAC地址的列表。
17.根据权利要求16所述的方法,其特征在于,所述根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥,包括:获取所述密钥查询结果中携带的与所述用户终端的MAC地址对应的认证密钥。
18.根据权利要求17所述的方法,其特征在于,所述根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥,包括:获取所述密钥查询结果中携带的与所述用户终端的MAC地址对应的错误报告,所述错误报告是在所述认证服务器不存在所述用户终端的MAC地址时,所述认证服务器根据所述用户终端的MAC地址生成的代码;
至少根据所述无线接入点对应的无线网络的标识生成对应的所述认证密钥。
19.根据权利要求18所述的方法,其特征在于,所述与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接之后,还包括:向所述用户终端发送所述用户终端的MAC地址,以便所述用户终端向所述认证服务器发送所述用户终端的绑定信息,所述绑定信息用于指示所述认证服务器为所述用户终端存储对应的MAC地址。
20.一种无线网络连接方法,其特征在于,所述方法包括:
接收无线接入点发送的密钥查询请求,所述密钥查询请求携带有通过与所述无线接入点的标识对应的会话密钥对用户终端的MAC地址进行加密的第一密文;
在接收到所述密钥查询请求后,验证所述无线接入点是否属于可信任无线接入点;
在所述无线接入点属于所述可信任无线接入点时向所述无线接入点发送与所述用户终端的MAC地址对应的密钥查询结果,以便所述无线接入点根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥,并与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接;
其中,所述向所述无线接入点发送与所述用户终端的MAC地址对应的密钥查询结果,包括:使用与所述无线接入点的标识对应的会话密钥对所述第一密文进行解密,得到所述用户终端的MAC地址;
若在地址列表中存在所述用户终端的MAC地址,所述认证服务器至少根据所述用户终端的MAC地址和所述无线接入点对应的无线网络的标识生成与所述用户终端MAC对应的所述认证密钥;
向所述无线接入点发送密钥查询结果,所述密钥查询结果携带有与所述用户终端的MAC地址对应的所述认证密钥;
所述与所述无线接入点的标识对应的会话密钥是在所述无线接入点注册成功时所述认证服务器保存的;所述地址列表是本地认证服务器在所述用户终端注册成功时保存的所述用户终端的MAC地址的列表。
21.根据权利要求20所述的方法,其特征在于,所述在接收到所述密钥查询请求后,验证所述无线接入点是否属于可信任无线接入点,包括:获取所述密钥查询请求中携带的第一密文和所述无线接入点的标识;
验证所述无线接入点的标识是否属于可信任标识;
若所述无线接入点的标识属于所述可信任标识,则将所述无线接入点验证为所述可信任无线接入点;
其中,所述第一密文包括所述用户终端的MAC地址,所述可信任标识是指成功通过所述认证服务器的身份认证的无线接入点的标识。
22.根据权利要求21所述的方法,其特征在于,若在地址列表中未查询到所述用户终端的MAC地址,还包括:向所述无线接入点发送密钥查询结果,所述密钥查询结果携带有与所述用户终端的MAC地址对应的错误报告;
其中,所述错误报告是在不存在所述用户终端的MAC地址时,所述认证服务器根据所述用户终端的MAC地址生成的代码。
23.一种无线网络连接装置,其特征在于,所述装置包括:
请求接收模块,用于接收用户终端发送的接入请求,所述接入请求携带有所述用户终端的媒体访问控制MAC地址;
请求发送模块,用于向认证服务器发送密钥查询请求,所述密钥查询请求携带有通过与本地无线接入点的标识对应的会话密钥对所述用户终端的MAC地址进行加密的第一密文;
结果接收模块,用于接收所述认证服务器发送的与所述用户终端的MAC地址对应的密钥查询结果,所述密钥查询结果是所述认证服务器在接收到所述密钥查询请求后,验证无线接入点属于可信任无线接入点时发送的,所述密钥查询结果携带有与所述用户终端的MAC地址对应的所述认证密钥;
密钥获取模块,用于根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥;
网络建立模块,用于与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接;
所述认证密钥采用下述方式确定:
所述认证服务器使用与所述无线接入点的标识对应的会话密钥对所述第一密文进行解密,得到所述用户终端的MAC地址;
若认证服务器的地址列表中存在所述用户终端的MAC地址,所述认证服务器至少根据所述用户终端的MAC地址和所述无线接入点对应的无线网络的标识生成与所述用户终端MAC对应的所述认证密钥;
所述与所述本地无线接入点的标识对应的会话密钥是在所述本地无线接入点注册成功时所述认证服务器保存的;所述地址列表是所述认证服务器在所述用户终端注册成功时保存的所述用户终端的MAC地址的列表。
24.根据权利要求23所述的装置,其特征在于,所述密钥获取模块,还用于获取所述密钥查询结果中携带的与所述用户终端的MAC地址对应的认证密钥。
25.根据权利要求23所述的装置,其特征在于,所述密钥获取模块,包括:报告获取单元,用于获取所述密钥查询结果中携带的与所述用户终端的MAC地址对应的错误报告,所述错误报告是在所述认证服务器不存在所述用户终端的MAC地址时,所述认证服务器根据所述用户终端的MAC地址生成的代码;
密钥生成单元,用于至少根据所述无线接入点对应的无线网络的标识生成对应的所述认证密钥。
26.根据权利要求25所述的装置,其特征在于,所述装置,还包括:地址发送模块,用于向所述用户终端发送所述用户终端的MAC地址,以便所述用户终端向所述认证服务器发送所述用户终端的绑定信息,所述绑定信息包括所述用户终端的MAC地址和所述用户终端的用户名,或,所述用户终端的MAC地址和所述用户终端的密码,或,所述用户终端的MAC地址、所述用户终端的用户名和所述用户终端的密码。
27.一种无线网络连接装置,其特征在于,所述装置包括:
第一接收模块,用于接收无线接入点发送的密钥查询请求,所述密钥查询请求携带有通过与所述无线接入点的标识对应的会话密钥对用户终端的MAC地址进行加密的第一密文;
信任验证模块,用于在接收到所述密钥查询请求后,验证所述无线接入点是否属于可信任无线接入点;
结果发送模块,用于在所述无线接入点属于所述可信任无线接入点时向所述无线接入点发送与所述用户终端的MAC地址对应的密钥查询结果,以便所述无线接入点根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥,并与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接;
其中,所述结果发送模块包括:
地址解密单元,用于使用与所述无线接入点的标识对应的会话密钥对所述密钥查询请求中携带的第一密文进行解密,得到所述用户终端的MAC地址;
密钥生成单元,用于若在地址列表中存在所述用户终端的MAC地址,至少根据所述用户终端的MAC地址和所述无线接入点对应的无线网络的标识生成与所述用户终端MAC对应的认证密钥;
第一发送单元,用于向所述无线接入点发送密钥查询结果,所述密钥查询结果携带有与所述用户终端的MAC地址对应的认证密钥;
所述与所述无线接入点的标识对应的会话密钥是在所述无线接入点注册成功时所述认证服务器保存的;所述地址列表是本地认证服务器在所述用户终端注册成功时保存的所述用户终端的MAC地址的列表。
28.根据权利要求27所述的装置,其特征在于,所述信任验证模块,包括:标识获取单元,用于获取所述密钥查询请求中携带的第一密文和所述无线接入点的标识;
标识验证单元,用于验证所述无线接入点的标识是否属于可信任标识;
信任验证单元,用于在所述无线接入点的标识属于所述可信任标识时,将所述无线接入点验证为所述可信任无线接入点;
其中,所述第一密文包括所述用户终端的MAC地址,所述可信任标识是指成功通过所述认证服务器的身份认证的无线接入点的标识。
29.根据权利要求27所述的装置,其特征在于,所述结果发送模块,还包括:第二发送单元,用于若在地址列表中不存在所述用户终端的MAC地址时,向所述无线接入点发送密钥查询结果,所述密钥查询结果携带有与所述用户终端的MAC地址对应的错误报告;
其中,所述错误报告是在不存在所述用户终端的MAC地址时,所述认证服务器根据所述用户终端的MAC地址生成的代码。
30.一种无线网络连接系统,其特征在于,所述系统包括:用户终端、无线接入点和认证服务器;
所述用户终端,用于向所述无线接入点发送接入请求;
所述无线接入点包括如权利要求23至26任一所述的无线网络连接装置;
所述认证服务器包括如权利要求27至29任一所述的无线网络连接装置。
说明书 :
无线网络连接方法、装置及系统
技术领域
[0001] 本发明实施例涉及网络安全领域,特别涉及一种无线网络连接方法、装置及系统。
背景技术
[0002] 随着用户终端的广泛使用,无线网络成为用户终端接入互联网的一种重要形式。常见的无线网络是Wi-Fi(Wireless-Fidelity,无线保真)网络。目前的大部分商业场所均提供有公众Wi-Fi,供用户免费使用。
[0003] 现有技术中,用户终端接入公众Wi-Fi的方式主要包括:无密码接入、验证码接入和单一密码接入三种方式,用户终端是指可以搜索和连接Wi-Fi网络的终端。其中:无密码接入是指用户终端在获取到公众Wi-Fi的SSID(Service Set Identifier,服务集标识)后,向无线接入点发送接入请求,无线接入点无需验证,直接允许用户终端接入该公众Wi-Fi;验证码接入是指用户终端在接入公众Wi-Fi时需要获取公众Wi-Fi的SSID和验证码,通过将验证码和SSID向无线接入点发送接入请求,无线接入点对验证码和SSID进行验证,在验证成功后,允许用户终端接入该公众Wi-Fi,验证码通常具有有效期,比如60s;单一密码接入是指用户终端在接入公众Wi-Fi时,预先获取该公众Wi-Fi的SSID和连接密码,通过将该SSID和连接密码向无线接入点发送接入请求;无线接入点对SSID和连接密码进行验证;在无线接入点验证成功后,允许用户终端接入该公众Wi-Fi,连接密码通常是长期有效的。
[0004] 在实现本发明实施例的过程中,发明人发现现有技术至少存在以下问题:
[0005] 由于黑客可以设置假冒的公众Wi-Fi,该假冒的公众Wi-Fi与真实的公众Wi-Fi具有完全相同的硬件信息,比如SSID。当用户使用上述三种接入方式中的任意一种方式将用户终端接入假冒的公众Wi-Fi后,用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁。
发明内容
[0006] 为了解决用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi后,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题,本发明实施例提供了一种无线网络连接方法、装置及系统。所述技术方案如下:
[0007] 根据本发明实施例的第一方面,提供了一种无线网络连接方法,所述方法包括:
[0008] 用户终端向无线接入点发送接入请求,所述接入请求携带有所述用户终端的MAC(Media Access Control,媒体访问控制)地址;
[0009] 所述无线接入点向认证服务器发送密钥查询请求,所述密钥查询请求携带有所述用户终端的MAC地址;
[0010] 所述认证服务器在接收到所述密钥查询请求后,验证所述无线接入点是否属于可信任无线接入点,在所述无线接入点属于所述可信任无线接入点时向所述无线接入点发送与所述用户终端的MAC地址对应的密钥查询结果;
[0011] 所述无线接入点根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥;
[0012] 所述用户终端生成与自身的MAC地址对应的所述认证密钥;
[0013] 所述无线接入点与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接。
[0014] 根据本发明实施例的第二方面,提供了一种无线网络连接方法,所述方法包括:
[0015] 接收用户终端发送的接入请求,所述接入请求携带有所述用户终端的MAC地址;
[0016] 向认证服务器发送密钥查询请求,所述密钥查询请求携带有所述用户终端的MAC地址;
[0017] 接收所述认证服务器发送的与所述用户终端的MAC地址对应的密钥查询结果,所述密钥查询结果是所述认证服务器在接收到所述密钥查询请求后,验证无线接入点属于可信任无线接入点时发送的;
[0018] 根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥;
[0019] 与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接。
[0020] 根据本发明实施例的第三方面,提供了一种无线网络连接方法,所述方法包括:
[0021] 接收无线接入点发送的密钥查询请求,所述密钥查询请求携带有用户终端的MAC地址;
[0022] 在接收到所述密钥查询请求后,验证所述无线接入点是否属于可信任无线接入点;
[0023] 在所述无线接入点属于所述可信任无线接入点时向所述无线接入点发送与所述用户终端的MAC地址对应的密钥查询结果,以便所述无线接入点根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥,并与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接。
[0024] 根据本发明实施例的第四方面,提供了一种无线网络连接装置,所述装置包括:
[0025] 请求接收模块,用于接收用户终端发送的接入请求,所述接入请求携带有所述用户终端的MAC地址;
[0026] 请求发送模块,用于向认证服务器发送密钥查询请求,所述密钥查询请求携带有所述用户终端的MAC地址;
[0027] 结果接收模块,用于接收所述认证服务器发送的与所述用户终端的MAC地址对应的密钥查询结果,所述密钥查询结果是所述认证服务器在接收到所述密钥查询请求后,验证无线接入点属于可信任无线接入点时发送的;
[0028] 密钥获取模块,用于根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥;
[0029] 网络建立模块,用于与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接。
[0030] 根据本发明实施例的第五方面,提供了一种无线网络连接装置,所述装置包括:
[0031] 第一接收模块,用于接收无线接入点发送的密钥查询请求,所述密钥查询请求携带有用户终端的MAC地址;
[0032] 信任验证模块,用于在接收到所述密钥查询请求后,验证所述无线接入点是否属于可信任无线接入点;
[0033] 结果发送模块,用于在所述无线接入点属于所述可信任无线接入点时向所述无线接入点发送与所述用户终端的MAC地址对应的密钥查询结果,以便所述无线接入点根据所述密钥查询结果获取与所述用户终端的MAC地址对应的认证密钥,并与所述用户终端根据各自持有的所述认证密钥协商建立加密无线网络连接。
[0034] 根据本发明实施例的第六方面,提供了一种无线网络连接系统,所述系统包括:用户终端、无线接入点和认证服务器;
[0035] 所述用户终端,用于向所述无线接入点发送接入请求;
[0036] 所述无线接入点包括如上述第四方面所述的无线网络连接装置;
[0037] 所述认证服务器包括如上述第五方面所述的无线网络连接装置。
[0038] 本发明实施例提供的技术方案带来的有益效果可以包括:
[0039] 通过用户终端向无线接入点发送接入请求;无线接入点向认证服务器发送密钥查询请求;认证服务器在接收到密钥查询请求后,验证无线接入点是否属于可信任无线接入点,在无线接入点属于可信任无线接入点时,认证服务器向无线接入点发送与用户终端的MAC地址对应的密钥查询结果;无线接入点根据密钥查询结果获取与用户终端的MAC地址对应的认证密钥;用户终端生成与自身的MAC地址对应的认证密钥;无线接入点与用户终端根据各自持有的认证密钥协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户终端的MAC地址对应的认证密钥,从而根据认证密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
附图说明
[0040] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0041] 图1是本发明一个示例性实施例提供的无线网络连接系统的结构示意图;
[0042] 图2是本发明一个实施例提供的无线网络连接方法的流程图;
[0043] 图3A是本发明一个实施例提供的认证服务器对无线接入点身份认证的流程图;
[0044] 图3B是本发明一个实施例提供的无线接入点向认证服务器注册过程的示意图;
[0045] 图3C是本发明一个实施例提供的认证服务器对无线接入点身份认证过程的示意图;
[0046] 图4A是本发明一个实施例提供的认证服务器向用户终端分配用户名和密码的流程图;
[0047] 图4B是本发明一个实施例提供的认证服务器向用户终端分配用户名和密码过程的示意图;
[0048] 图4C是本发明一个实施例提供的用户终端向认证服务器请求可信任无线接入点的示意图;
[0049] 图4D是本发明一个实施例提供的用户终端查看可信任无线接入点的界面图;
[0050] 图5A是本发明一个实施例提供的无线网络连接方法的流程图;
[0051] 图5B是本发明一个实施例提供的用户终端接入无线接入点过程的示意图;
[0052] 图6A是本发明另一个实施例提供的无线网络连接方法的流程图;
[0053] 图6B是本发明另一个实施例提供的用户终端接入无线接入点过程的示意图;
[0054] 图7是本发明一个实施例提供的无线网络连接装置的结构方框图;
[0055] 图8是本发明另一个实施例提供的无线网络连接装置的结构方框图;
[0056] 图9是本发明一个实施例提供的无线网络连接装置的结构方框图;
[0057] 图10是本发明另一个实施例提供的无线网络连接装置的结构方框图[0058] 图11是本发明一个实施例提供的一种无线网络连接系统的结构方框图。
具体实施方式
[0059] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0060] 为了便于理解,首先介绍一些本发明实施例所涉及的技术概念。
[0061] 公钥和私钥
[0062] 公钥是指公开的密钥,不需要进行保密,解密方可以通过各种渠道获取;而私钥是指仅由加密方自身持有的密钥,需要进行保密。一个公钥对应一个私钥;公钥和私钥共同组成了一种不对称加密方式。不对称加密方式是指用公钥加密的信息只能用对应的私钥进行解密,使用私钥加密的信息也只能用对应的公钥进行解密。也即,加密和解密使用的密钥是不相同的。
[0063] 比如:假定A要向B发送加密信息,则A首先要获取与B对应的公钥,然后使用与B对应的公钥对需要发送的信息进行加密后,将加密后的信息发送给B,B在接收到A发送的加密的信息后,必须使用与B对应的私钥才可以对加密的信息进行解密,获取加密的信息中的内容。由于与B对应的私钥只有B自己拥有,因此A发送的加密的信息是安全的。
[0064] 会话密钥
[0065] 会话密钥是指解密方和加密方都持有的密钥,需要进行保密。使用会话密钥进行加密属于一种对称的加密方式。对称的加密方式是指加密方使用会话密钥加密的信息只能使用相同的会话密钥进行解密,也即,加密和解密使用的密钥是相同的。
[0066] 无线接入点和认证服务器之间通过使用应用层的会话密钥完成认证服务器对无线接入点的身份认证;通过结合使用应用层的会话密钥和传输层的公钥和私钥完成认证服务对无线接入点的验证和验证后的信息交互。
[0067] 如下表一所示,认证服务器对无线接入点的身份认证过程使用应用层(表一中的SSL层)的会话密钥加密后在数据层(表一中的APP.EN层和APP.DATA层)中完成身份认证过程;认证服务器对无线接入点的验证和验证后的信息交互过程结合使用应用层(表一中的SSL层)的会话密钥和传输层(表一中的TCP/IP层)的公钥和私钥对信息进行加密,最后在数据层中完成验证和验证后的信息交互。
[0068]
[0069]
[0070] 表一
[0071] 请参考图1,其示出了本发明一个示例性实施例提供的无线网络连接系统的结构示意图。该无线网络连接系统包括:无线接入点120、用户终端140和认证服务器160。
[0072] 无线接入点120可以是路由器、Wi-Fi热点和无线网关等提供无线网络接入服务的设备的统称。本发明实施例中,以无线接入点120是路由器来举例说明。无线接入点120在与用户终端140建立无线网络连接之前,需要通过认证服务器160对该无线接入点120的身份认证。无线接入点120与认证服务器160之间通过无线网络或有线网络建立连接。本发明实施例对无线接入点120和认证服务器160之间的通信方式不做限定。
[0073] 用户终端140可以是手机、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)播放器、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。可选的,用户终端140中安装有具有扫码功能的应用程序,比如,腾讯QQ、微信、QQ浏览器、无线上网程序等。
[0074] 用户终端140与认证服务器160之间通过无线网络或有线网络建立连接。可选的,用户终端140通过独立通道向认证服务器160发送注册请求,认证服务器160根据用户终端140发送的注册请求,为用户终端140分配唯一的用户名和密码,其中,独立通道是指不经过无线接入点的通信通道,比如:2G网络、3G网络等。本发明实施例对用户终端140和认证服务器160之间的通信方式不做限定。
[0075] 认证服务器160中存储有可信任标识,可信任标识是指成功通过认证服务器160的身份认证的无线接入点的标识、每个用户终端140对应的用户名和密码以及用户终端140的MAC地址。认证服务器160可以是一台服务器、多台服务器组成的服务器集群或云计算中心。
[0076] 请参考图2,其示出了本发明一个实施例提供的无线网络连接方法的流程图。本实施例以该无线网络连接方法应用于图1所示的无线网络接入系统中来举例说明。该方法包括:
[0077] 步骤201,用户终端向无线接入点发送接入请求,接入请求携带有用户终端的MAC地址。
[0078] 用户终端预先获取用户终端的MAC地址,并将获取到的MAC地址携带在接入请求中发送给无线接入点。
[0079] 可选的,用户终端并不获取用户终端的MAC地址,用户终端的操作系统直接将MAC地址携带在接入请求中发送给无线接入点。
[0080] 对应地,无线接入点接收用户终端发送的接入请求。
[0081] 步骤202,无线接入点向认证服务器发送密钥查询请求,密钥查询请求携带有用户终端的MAC地址。
[0082] 在接收到用户终端发送的接入请求后,无线接入点获取接入请求中的MAC地址,将获取到的MAC地址和无线接入点的标识携带在密钥查询请求中发送给认证服务器。
[0083] 对应地,认证服务器接收无线接入点发送的密钥查询请求。
[0084] 步骤203,认证服务器在接收到密钥查询请求后,验证无线接入点是否属于可信任无线接入点。
[0085] 步骤204,在无线接入点属于可信任无线接入点时,认证服务器向无线接入点发送与用户终端的MAC地址对应的密钥查询结果。
[0086] 在无线接入点属于可信任无线接入点时,认证服务器根据密钥查询请求中的MAC地址查询并生成对应的密钥查询结果。
[0087] 当认证服务器查询到认证服务器中预先存储有密钥查询请求中携带的MAC地址时,根据查询到的MAC地址生成对应的密钥查询结果,比如:生成的密钥查询结果为:“存在MAC地址,对应的认证密钥为dbaf12”。
[0088] 当认证服务器查询到认证服务器中不存在密钥查询请求中携带的MAC地址时,根据MAC地址生成对应的密钥查询结果,比如:生成的密钥查询结果为:“不存在MAC地址,无法生成对应的认证密钥”。
[0089] 对应地,无线接入点接收认证服务器发送的密钥查询结果。
[0090] 步骤205,无线接入点根据密钥查询结果获取与用户终端的MAC地址对应的认证密钥。
[0091] 步骤206,用户终端生成与自身的MAC地址对应的认证密钥。
[0092] 步骤207,无线接入点与用户终端根据各自持有的认证密钥协商建立加密无线网络连接。
[0093] 综上所述,本实施例提供的无线网络接入方法,通过用户终端向无线接入点发送接入请求;无线接入点向认证服务器发送密钥查询请求;认证服务器在接收到密钥查询请求后,验证无线接入点是否属于可信任无线接入点,在无线接入点属于可信任无线接入点时,认证服务器向无线接入点发送与用户终端的MAC地址对应的密钥查询结果;无线接入点根据密钥查询结果获取与用户终端的MAC地址对应的认证密钥;用户终端生成与自身的MAC地址对应的认证密钥;无线接入点与用户终端根据各自持有的认证密钥协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户终端的MAC地址对应的认证密钥,从而根据认证密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
[0094] 需要说明的是,上述实施例中有关认证服务器一侧的步骤可以单独实现成为认证服务器侧的无线网络连接方法;有关无线接入点一侧的步骤可以单独实现成为无线接入点侧的无线网络连接方法。
[0095] 本发明实施例中的无线网络连接方法主要包括三个阶段,第一阶段包括无线接入点在认证服务器上注册以及认证服务器对无线接入点的身份认证过程;第二阶段包括认证服务器向用户终端分配用户名和密码并存储用户终端的MAC地址的过程;第三阶段包括无线网络连接的过程。本发明实施例中根据三个不同的阶段,以三个不同的实施例对每个阶段进行详细描述,具体实施例如下所示:
[0096] 请参考图3A,其示出了本发明一个实施例提供的认证服务器对无线接入点身份认证的流程图。本实施例以该身份认证的过程应用于图1所示的无线网络接入系统中来举例说明。该方法包括:
[0097] 步骤301,无线接入点向认证服务器发送注册请求,注册请求包括无线接入点的硬件信息。
[0098] 无线接入点在使用之前,首先需要在认证服务器上完成无线接入点的注册。无线接入点在认证服务器上注册时,需要将无线接入点对应的硬件信息发送给认证服务器。
[0099] 可选的,与无线接入点对应的硬件信息可以包括:无线接入点的SSID、无线接入点的BSSID(Basic Service Set Identifier,基本服务集标识)、无线接入点的MAC地址、无线接入点的网络地址和无线接入点的网关IP(Internet Protocol,互联网协议)等。
[0100] 其中,无线接入点的SSID和无线接入点的BSSID通常组合使用,并作为无线接入点对应的无线网络的标识。
[0101] 比如:如表二所示,无线接入点包括3个无线网络时,无线接入点的SSID和无线接入点的BSSID都存在三个。
[0102]
[0103] 表二
[0104] 从表二中可知,SSID1和BSSID1表示无线接入点对应的无线网络1的标识;SSID2和BSSID2表示无线接入点对应的无线网络2的标识;SSID3和BSSID3表示无线接入点对应的无线网络3的标识。
[0105] 其中,无线接入点的网络地址是指提供局域网的网络地址,以便多个无线接入点之间的通信;无线接入点的网关IP是指提供给其它网络的IP地址,以便与其它网络建立通信。也即,无线接入点的网络地址用于内网的通信,无线接入点的网关IP用于外网的通信。
[0106] 对应地,认证服务器接收无线接入点发送的注册请求。
[0107] 步骤302,认证服务器根据注册请求生成无线接入点的标识和与无线接入点的标识对应的会话密钥。
[0108] 认证服务器在接收到注册请求后,获取注册请求中携带的无线接入点对应的无线网络的标识,根据获取到的无线网络的标识生成无线接入点的标识和与无线接入点的标识对应的会话密钥,其中无线接入点的标识和与无线接入点的标识对应的会话密钥都可以唯一标识该无线接入点。
[0109] 可选的,认证服务器将该无线接入点的标识和与无线接入点的标识对应的会话密钥进行存储,并对该无线接入点的标识标记为不信任。
[0110] 可选的,认证服务器在存储无线接入点的标识和与无线接入点的标识对应的会话密钥时,将两者之间的对应关系一起存储。
[0111] 步骤303,认证服务器向无线接入点发送无线接入点的标识和与无线接入点的标识对应的会话密钥。
[0112] 认证服务器在生成无线接入点的标识和与无线接入点的标识对应的会话密钥后,将生成的无线接入点的标识和与无线接入点的标识对应的会话密钥反馈给无线接入点。
[0113] 对应地,无线接入点接收认证服务器发送的无线接入点的标识和与无线接入点的标识对应的会话密钥。
[0114] 在一个具体的例子中,无线接入点120在认证服务器160上的注册过程如图3B所示,无线接入点120在第一次登录时,向认证服务器160发送注册请求,在图3B中,REQ_ID(SSID,BSSID)表示无线接入点120向认证服务器160发送的注册请求,注册请求中携带有无线接入点120对应的无线网络的SSID和BSSID;认证服务器160在接收到注册请求REQ_ID(SSID,BSSID)后,为(SSID,BSSID)生成RID和SRSessionKey,其中,RID表示无线接入点120的标识,SRSessionKey表示与无线接入点120的标识对应的会话密钥;认证服务器160在无线接入点120数据库中记录RID和SRSessionKey,并标记RID.Tust=0,RID.Tust=0表示现阶段认证服务器160对该无线接入点120处于不信任状态。认证服务器160将生成的RID和SRSessionKey反馈给无线接入点120。
[0115] 步骤304,无线接入点向认证服务器发送身份认证请求。
[0116] 身份认证请求携带有认证信息和无线接入点的标识,认证信息和无线接入点的标识均使用与认证服务器对应的公钥进行加密,认证信息至少包括无线接入点的硬件信息和/或无线接入点的拥有者信息。
[0117] 可选地,认证信息是无线接入点通过与无线接入点的标识对应的会话密钥进行加密的信息。
[0118] 可选的,无线接入点直接将自身的硬件信息和自身的拥有者信息发送给认证服务器;或者,无线接入点只将自身的硬件信息发送给认证服务器,无线接入点的拥有者信息由管理终端间接发送给认证服务器。
[0119] 本实施例中,对向认证服务器发送认证信息的方式不作具体限定。本实施例中以无线接入点向认证服务器发送自身的硬件信息和自身的拥有者信息为例进行举例说明。
[0120] 可选的,无线接入点在向认证服务器发送身份认证请求之前,首先获取认证服务器对应的公钥。可选的,与认证服务器对应的公钥存储在无线接入点的固件中,无线接入点直接从固件中获取与认证服务器对应的公钥。
[0121] 无线接入点在获取到认证服务器对应的公钥后,与认证服务器建立加密通道。无线接入点通过加密通道将认证信息和无线接入点的标识携带在身份认证请求中发送给认证服务器。
[0122] 加密通道是指:将无线接入点向认证服务器发送的信息均使用与认证服务器对应的公钥进行加密,认证服务器在接收到无线接入点发送的加密信息后,需要使用认证服务器的私钥进行解密后获取其中的信息;认证服务器向无线接入点发送的信息均使用与无线接入点的标识对应的会话密钥进行加密,无线接入点在接收到认证服务器发送的加密信息后,必须使用与无线接入点的标识对应的会话密钥进行解密后才能获取其中的信息。
[0123] 无线接入点的拥有者信息可以包括:管理员帐号、商家名称、注册公司、商家地址和商家电话等信息。
[0124] 可选的,无线接入点可以将认证信息和无线接入点的标识分别单独发送给认证服务器;比如:无线接入点先通过与认证服务器对应的公钥对无线接入点的标识进行加密后发送给认证服务器,再通过与无线接入点的标识对应的会话密钥对认证信息进行加密后发送给认证服务器;认证服务器首先根据与认证服务器对应的私钥解密得到无线接入点的标识;认证服务器根据无线接入点的标识查询与无线接入点的标识对应的会话密钥;再使用与无线接入点的标识对应的会话密钥对加密后的认证信息进行解密得到认证信息。
[0125] 对应地,认证服务器接收无线接入点发送的身份认证请求。
[0126] 本实施例中以无线接入点使用与认证服务器对应的公钥对身份认证请求进行加密,身份认证请求包括认证信息和无线接入点的标识;并使用与无线接入点的标识对应的会话密钥对认证信息进行加密为例进行举例说明。
[0127] 步骤305,认证服务器通过与认证服务器对应的私钥对身份认证请求进行解密,得到认证信息和无线接入点的标识。
[0128] 认证服务器在接收到无线接入点发送的身份认证请求后,通过与认证服务器对应的私钥对身份认证请求进行解密,得到身份认证请求携带的认证信息和无线接入点的标识。
[0129] 步骤306,认证服务器根据无线接入点的标识查询与无线接入点的标识对应的会话密钥。
[0130] 认证服务器通过与认证服务器对应的私钥解密得到认证信息和无线接入点的标识后,在认证服务器中查询与无线接入点的标识对应的会话密钥。
[0131] 无线接入点的标识和与无线接入点的标识对应的会话密钥是认证服务器在无线接入点注册时保存的。
[0132] 步骤307,认证服务器通过与无线接入点的标识对应的会话密钥对认证信息进行解密,得到无线接入点的硬件信息和/或无线接入点的拥有者信息。
[0133] 认证服务器查询到与无线接入点的标识对应的会话密钥后,通过与无线接入点的标识对应的会话密钥对认证信息进行解密,得到认证信息中包括的无线接入点的硬件信息和/或无线接入点的拥有者信息。
[0134] 步骤308,认证服务器对无线接入点的硬件信息和/或无线接入点的拥有者信息进行身份认证,在身份认证成功时,将无线接入点的标识确定为可信任标识。
[0135] 认证服务器在解密得到认证信息中携带的无线接入点的硬件信息和/或无线接入点的拥有者信息后,对无线接入点的硬件信息和/或无线接入点的拥有者信息进行身份认证。可选地,该身份认证过程是人工审核过程。
[0136] 其中,身份认证是指核实认证信息中携带的无线接入点的硬件信息和/或无线接入点的拥有者信息是否正确或完整。在身份认证成功后,认证服务器将无线接入点的标识确定为可信任标识,并保存与无线接入点的标识对应的会话密钥。
[0137] 可选的,认证服务器中存储有可信任标识集合,可信任标识集合是认证服务器存储的成功通过身份认证的无线接入点的标识的列表。也即,可信任标识集合中对应的无线接入点都是经过认证服务器身份认证成功的无线接入点。
[0138] 示例性地,可信任标识集合如下表三所示:
[0139]
[0140]
[0141] 表三
[0142] 如表三所示,无线接入点A的标识为“ID1”;无线接入点B的标识为“ID2”;无线接入点C的标识为“ID3”;无线接入点D的标识为“ID4”。
[0143] 可选的,在身份认证成功后,认证服务器将无线接入点的标识确定为可信任标识,允许用户终端向认证服务器查询该无线接入点,并认证该无线接入点是否为可信任无线接入点;同时,认证服务器允许该无线接入点向认证服务器查询与用户终端的MAC地址对应的认证密钥。
[0144] 在一个具体的例子中,无线接入点120在认证服务器160上的认证过程如图3C所示,在图3C中,无线接入点120向认证服务器160发送RID,En_SRSessionKey(REGISTER,BusinessName,BusinessAddress,AdminID,AdminName,AdminContact);其中,RID表示无线接入点120的标识,En_SRSessionKey()表示使用SRSessionKey对应括号里面的内容进行加密,REGISTER表示身份认证,BusinessName标识商户注册名称,BusinessAddress表示商户注册地址,AdminID表示管理员帐号标识,AdminName表示管理员姓名,AdminContact表示管理员联系电话。认证服务器160对接收到的信息进行核实,并标记RID.Tust=1,RID.Tust=1表示认证服务器160确定该无线接入点120为可信任无线接入点。认证服务器160向无线接入点120反馈En_SRSessionKey(RESULT_OK),RESULT_OK表示认证服务器160身份认证成功。
[0145] 综上所述,本实施例提供的认证服务器对无线接入点的身份认证过程,使得只有属于认证服务器中可信任无线接入点可以执行第二阶段和第三阶段的无线网络接入,用户终端与可信任无线接入点协商建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
[0146] 需要说明的第一点是,无线接入点向认证服务器发送身份请求的方式可以包括以下三种可能:
[0147] 作为第一种可能的实现方式,无线接入点直接将身份认证请求发送给认证服务器,身份认证请求中携带有无线接入点的标识、无线接入点的硬件信息和/或无线接入点的拥有者信息;
[0148] 作为第二种可能的实现方式,无线接入点使用与认证服务器对应的公钥对身份认证请求进行加密,身份认证请求中携带有无线接入点的标识、无线接入点的硬件信息和/或无线接入点的拥有者信息;
[0149] 作为第三种可能的实现方式,无线接入点使用与认证服务器对应的公钥对身份认证请求进行加密,身份认证请求包括认证信息和无线接入点的标识;认证信息是无线接入点使用与无线接入点的标识对应的会话密钥进行加密的信息;认证信息携带有无线接入点的硬件信息和/或无线接入点的拥有者信息。
[0150] 需要说明的第二点是,本实施例中有关认证服务器一侧的步骤可以单独实现成为认证服务器侧的身份认证过程;有关无线接入点一侧的步骤可以单独实现成为无线接入点侧的身份认证过程。
[0151] 请参考图4A,其示出了本发明一个实施例提供的认证服务器向用户终端分配用户名和密码的流程图。本实施例以该分配过程应用于图1所示的无线网络接入系统中来举例说明。该方法包括:
[0152] 步骤401,用户终端通过独立通道向认证服务器发送信息注册请求。
[0153] 信息注册请求中携带有用户终端的MAC地址、坐标地址和当前时间等。
[0154] 可选的,当用户终端未获取到用户终端的MAC地址时,信息注册请求中不携带用户终端的MAC地址。
[0155] 其中,坐标地址是指用户终端发送信息注册请求时所在的地址,用户终端向认证服务器发送坐标地址的目的是为了方便认证服务器向用户终端推荐用户终端所在地址范围内的可信任无线接入点;当前时间是指用户终端发送信息注册请求时所处的时间;用户终端向认证服务器发送当前时间的目的是为了方便认证服务器获取用户终端信息注册的时间,便于在用户终端请求接入无线接入点时,对当前时间的比对。
[0156] 可选的,当前时间可以为当前日期或者当前时间点。
[0157] 独立通道是指:将用户终端向认证服务器发送的信息均使用与认证服务器对应的公钥进行加密,认证服务器在接收到用户终端发送的加密信息后,需要使用认证服务器的私钥进行解密后获取其中的信息;认证服务器向用户终端发送的信息均使用与认证服务器对应的私钥进行加密,用户终端在接收到认证服务器发送的加密信息后,必须使用与认证服务器对应的公钥进行解密后才能获取其中的信息。
[0158] 对应地,认证服务器接收用户终端发送的信息注册请求。
[0159] 步骤402,认证服务器根据信息注册请求为用户终端分配用户名和密码。
[0160] 认证服务器接收到信息注册请求后,使用与认证服务器对应的私钥对信息注册请求进行解密,得到用户终端的MAC地址、坐标地址和当前时间等信息,根据获取到的信息生成对应的用户名和密码。
[0161] 可选的,认证服务器将用户终端对应的用户名、密码、用户终端的MAC地址、注册时间和坐标地址等对应关系存储至认证服务器中,并将用户名和密码发送给用户终端。
[0162] 可选的,用户终端接收到的用户名和密码对用户属于未知状态,用户若想获取用户名和密码,需要执行对用户名和密码的查看操作后方可获知用户终端的用户名和密码。
[0163] 可选的,当用户终端使用的是iOS系统时,由于iOS系统的限制,导致用户终端可能无法获取用户终端的MAC地址,则用户终端向认证服务器发送的信息注册请求中未携带用户终端的MAC地址,此时认证服务器将用户终端的MAC地址设置为空。
[0164] 示例性地,认证服务器存储用户名、密码、用户终端的MAC地址、注册时间和坐标地址之间的对应关系如下表四所示:
[0165]用户名 密码 MAC地址 坐标地址(经度,维度) 注册时间
用户A 密码1 MAC1 (120.3,31.56) 4月26日
用户B 密码2 空 (31.12,121.26) 4月25日
用户C 密码3 MAC3 (39.57,116.19) 4月20日
用户A 密码1 MAC1 (120.3,31.56) 4月26日
用户B 密码2 空 (31.12,121.26) 4月25日
用户C 密码3 MAC3 (39.57,116.19) 4月20日
[0166] 表四
[0167] 认证服务器根据表四中的左三列为用户终端随机生成对应的用户名和密码,认证服务器将随机生成的用户名和密码分配给对应的用户终端。
[0168] 可选的,认证服务器向用户终端分配的用户名和密码是唯一的。也即,每一个用户终端对应唯一的用户名和密码,用户终端与用户名之间是一一对应的关系。
[0169] 在一个具体的例子中,认证服务器向用户终端分配用户名和密码的过程如图4B所示。在图4B中,用户终端140与认证服务器160之间首先建立互信,构建加密通话信道;也即用户终端140与认证服务器160之间建立独立通道。用户终端140通过加密通话信道向认证服务器160上报用户终端140的MAC地址、坐标地址和当前时间,认证服务器160根据上报的信息生成用户名和密码;认证服务器160通过加密通话信道向用户终端140分配用户名和密码,也即,用户名和密码的分配过程在不经过无线接入点的通信通道中完成的。
[0170] 可选的,用户终端向认证服务器发送信息注册请求时,可以通过用户终端中的通信类客户端或浏览器客户端等向认证服务器发送信息注册请求,比如:腾讯QQ、微博客户端、微信客户端等。
[0171] 需要说明的第一点是,认证服务器还可以为用户终端推荐可信任无线接入点,如图4C所示,在图4C中,用户终端140与认证服务器160之间建立互信,构建加密通话信道后,用户终端140向认证服务器160上报当前坐标地址,当前搜索到的无线网络的SSID/BSSID,认证服务器160根据接收到的当前坐标地址和当前搜索到的无线网络的SSID/BSSID,检测出当前搜索到的网络SSID/BSSID中哪些是可信任的无线接入点的无线网络,并向用户终端140返回可信任无线接入点的无线网络的SSID/BSSID;用户终端140将可信任无线接入点的无线网络的SSID/BSSID标示出来,推荐给用户连接。
[0172] 用户终端140将可信任无线接入点的无线网络的SSID/BSSID标示出来的界面图如图4D所示,在图4D中用户终端140对可信任无线接入点的无线网络中标记有“√”。
[0173] 需要说明的第二点是,经过图3A实施例所示的认证服务器对无线接入点身份认证过程后,无线接入点中存储无线接入点的标识和与无线接入点的标识对应的会话密钥;认证服务器中存储有无线接入点的标识和与无线接入点的标识对应的会话密钥;经过图4A实施例所示的认证服务器向用户终端分配用户名和密码的过程后,用户终端存储有用户名和密码,认证服务器中存储有用户终端的MAC地址、用户名和密码。综上所述,经过图3A和图4A实施例后,无线接入点中存储有无线接入点的标识和与无线接入点的标识对应的会话密钥;用户终端存储有用户名和密码;认证服务器中存储有无线接入点的标识和与无线接入点的标识对应的会话密钥、用户终端的MAC地址、用户名和密码。
[0174] 需要说明的第三点是,本实施例中有关认证服务器一侧的步骤可以单独实现成为认证服务器侧的用户名和密码分配过程。
[0175] 请参考图5A,其示出了本发明一个实施例提供的无线网络连接方法的流程图。本实施例以该无线网络连接方法应用于图1所示的无线网络接入系统中来举例说明。该方法包括:
[0176] 步骤501,用户终端向无线接入点发送接入请求,接入请求携带有用户终端的MAC地址。
[0177] 用户终端存储有认证服务器分配的用户名和密码。
[0178] 在用户终端选定待接入的无线接入点时,用户终端向该无线接入点发送接入请求,该接入请求中携带有用户终端的MAC地址。
[0179] 用户终端向无线接入点发送接入请求的方式包括:
[0180] 可选的,用户终端通过应用程序中的扫码功能扫描商家提供的携带有无线接入点的硬件信息的二维码,则用户终端通过扫描二维码向无线接入点发送接入请求。
[0181] 可选的,用户终端根据商家提供的携带有无线接入点的硬件信息的公众号向该无线接入点发送接入请求。
[0182] 可选的,用户终端根据认证服务器提供的携带有无线接入点的硬件信息的单独的无线网络客户端向该无线接入点发送接入请求。
[0183] 比如:用户终端利用微信中的扫一扫功能,扫描商家提供的携带有无线接入点的硬件信息的二维码,通过微信向无线接入点发送接入请求。又比如:用户终端直接利用浏览器中的扫一扫功能,扫描商家提供的携带有无线接入点的硬件信息的二维码,通过浏览器直接向无线接入点发送接入请求。
[0184] 又比如:用户终端利用微信中的关注功能,对商家提供的公众号进行关注,并通过公众号向无线接入点发送接入请求。还比如:用户终端安装认证服务器提供的携带有无线接入点的硬件信息的单独的无线网络客户端,通过单独的无线网络客户端向无线接入点发送接入请求。
[0185] 对应地,无线接入点接收用户终端发送的接入请求。
[0186] 步骤502,无线接入点向认证服务器发送密钥查询请求,密钥查询请求携带有用户终端的MAC地址。
[0187] 可选的,密钥查询请求中还携带有无线接入点的标识。
[0188] 可选的,密钥查询请求中还携带有接入请求的时间、请求密钥指令等。
[0189] 无线接入点在接收到用户终端发送的接入请求后,将无线接入点的标识和接入请求中携带的MAC地址发送给认证服务器。
[0190] 可选的,密钥查询请求携带有第一密文和无线接入点的标识;密钥查询请求是无线接入点使用与认证服务器对应的公钥进行加密的请求,第一密文是无线接入点使用与无线接入点的标识对应的会话密钥对MAC地址、接入请求的时间和请求密钥指令进行加密的密文。
[0191] 对应地,认证服务器接收无线接入点发送的密钥查询请求。
[0192] 步骤503,认证服务器获取密钥查询请求中携带的第一密文和无线接入点的标识。
[0193] 认证服务器在接收到无线接入点发送的密钥查询请求后,获取密钥查询请求中携带的第一密文和无线接入点的标识。
[0194] 第一密文包括用户终端的MAC地址。
[0195] 步骤504,认证服务器验证无线接入点的标识是否属于可信任标识;若无线接入点的标识属于可信任标识,则认证服务器将无线接入点验证为可信任无线接入点。
[0196] 其中,可信任标识是指成功通过认证服务器的身份认证的无线接入点的标识。
[0197] 认证服务器在获取到无线接入点的标识后,验证无线接入点的标识是否属于可信任标识,若属于可信任标识,则认证服务器确定该无线接入点为可信任无线接入点。
[0198] 可选的,认证服务器中存储有可信任标识集合,可信任标识集合是指成功通过认证服务器的身份认证的无线接入点的标识的集合。
[0199] 比如:如表三中示例性的可信任标识集合为例,假定认证服务器获取到的无线接入点的标识为ID2,则认证服务器将获取到的ID2与表三中所示的可信任标识集合中的标识进行匹配,结果发现ID2是属于可信任标识集合中,则认证服务器确定该无线接入点为可信任无线接入点。
[0200] 可选的,当认证服务器验证该无线接入点不属于可信任无线接入点时,则不执行后续步骤。
[0201] 步骤505,在无线接入点属于可信任无线接入点时,认证服务器查询与无线接入点的标识对应的会话密钥。
[0202] 认证服务器在确定该无线接入点为可信任无线接入点后,根据无线接入点的标识在认证服务器中查询与无线接入点的标识对应的会话密钥。
[0203] 其中,与无线接入点的标识对应的会话密钥是在无线接入点注册成功时认证服务器保存的,或者,是在无线接入点身份认证成功时认证服务器保存的。
[0204] 步骤506,认证服务器使用与无线接入点的标识对应的会话密钥对密钥查询请求中携带的第一密文进行解密,得到用户终端的MAC地址。
[0205] 认证服务器获取到与无线接入点的标识对应的会话密钥后,使用获取到的会话密钥对获取到的第一密文进行解密,解密后得到第一密文中携带的用户终端的MAC地址。
[0206] 第一密文是无线接入点通过与无线接入点的标识对应的会话密钥对用户终端的MAC地址进行加密的密文,
[0207] 步骤507,认证服务器在地址列表中查询是否存在用户终端的MAC地址。
[0208] 认证服务器在对第一密文解密得到第一密文携带的用户终端的MAC地址后,从预先存储的地址列表中查询是否存在第一密文中携带的用户终端的MAC地址。
[0209] 其中,地址列表是认证服务器在用户终端注册成功时保存的用户终端的MAC地址的列表。
[0210] 比如:如表四中示例性的对应关系为例,假定认证服务器获取到的密钥查询请求中携带的MAC地址为“MAC1”,则认证服务器到预先存储的对应关系中查询是否存在“MAC1”,则如表四所示,存在“MAC1”;当认证服务器获取到的密钥查询请求中携带的MAC地址为“MAC2”时,则如表四所示,不存在“MAC2”。
[0211] 步骤508,若存在用户终端的MAC地址,则认证服务器至少根据用户终端的MAC地址和无线接入点对应的无线网络的标识生成与用户终端MAC对应的认证密钥。
[0212] 可选的,若认证服务器中的地址列表中存在用户终端的MAC地址,则认证服务器至少根据用户终端的MAC地址、无线接入点对应的无线网络的SSID和无线接入点对应的无线网络的BSSID生成与用户终端的MAC地址对应的认证密钥。
[0213] 可选的,认证服务器根据用户终端的MAC地址、无线接入点对应的无线网络的SSID、无线接入点对应的无线网络的BSSID、用户终端的MAC地址对应的密码和接入请求的时间使用哈希算法计算得到与用户终端的MAC地址对应的认证密钥。
[0214] 本实施例中对认证服务器生成认证密钥的算法不作具体限定。
[0215] 步骤509,认证服务器使用与认证服务器对应的私钥对第一加密后的密钥查询结果进行第二加密,向无线接入点发送第二加密后的密钥查询结果。
[0216] 可选的,认证服务器首先使用与无线接入点的标识对应的会话密钥对密钥查询结果进行第一加密;再使用与认证服务器对应的私钥对第一加密后的密钥查询结果进行第二加密;将第二加密后的密钥查询结果发送给无线接入点。
[0217] 其中,与无线接入点的标识对应的会话密钥是认证服务器对无线接入点的身份认证成功时保存的,或者,是在无线接入点身份认证成功时认证服务器保存的。
[0218] 可选的,本实施例中,仅以先使用与无线接入点的标识对应的会话密钥对密钥查询结果进行第一加密,再使用与认证服务器对应的私钥对第一加密后的密钥查询结果进行第二加密进行举例说明。本实施例中,对密钥查询结果的加密顺序不作具体限定,可以先使用与认证服务器对应的私钥对密钥查询结果进行第一加密,再使用与无线接入点的标识对应的会话密钥对第一加密后的密钥查询结果进行第二加密。本实施例中认证服务器对密钥查询结果的加密方式不作具体限定。
[0219] 对应地,无线接入点接收认证服务器发送的加密的密钥查询结果。
[0220] 步骤510,无线接入点使用与认证服务器对应的公钥对第二加密后的密钥查询结果进行解密,得到第二密文。
[0221] 无线接入点在接收到认证服务器发送的第二加密的密钥查询结果后,使用与认证服务器对应的公钥对第二加密后的密钥查询结果进行解密,得到第二密文。
[0222] 其中,第二密文是认证服务器通过与无线接入点的标识对应的会话密钥对密钥查询结果进行加密的密文。
[0223] 步骤511,无线接入点使用与无线接入点的标识对应的会话密钥对第二密文进行解密,得到密钥查询结果中携带的与用户终端的MAC地址对应的认证密钥。
[0224] 无线接入点通过与认证服务器对应的公钥解密得到第二密文后,使用与无线接入点的标识对应的会话密钥对第二密文进行解密,得到与用户终端的MAC地址对应的认证密钥。
[0225] 可选的,若认证服务器仅使用与无线接入点的标识对应的会话密钥对密钥查询结果进行加密,则无线接入点仅需要使用与无线接入点的标识对应的会话密钥对加密后的密钥查询结果进行解密,即可得到与用户终端的MAC地址对应的认证密钥。
[0226] 步骤512,用户终端获取无线接入点对应的无线网络的标识。
[0227] 可选的,用户终端在向无线接入点发送接入请求时,获取该无线接入点对应的无线网络的标识。
[0228] 步骤513,用户终端至少根据无线接入点对应的无线网络的标识和用户终端的MAC地址生成对应的认证密钥。
[0229] 可选的,用户终端根据用户终端的MAC地址、无线接入点对应的无线网络的SSID和无线接入点对应的无线网络的BSSID生成与用户终端的MAC地址对应的认证密钥。
[0230] 可选的,用户终端根据用户终端的MAC地址、无线接入点对应的无线网络的SSID、无线接入点对应的无线网络的BSSID、用户终端的MAC地址对应的密码和接入请求的时间使用哈希算法计算得到与用户终端的MAC地址对应的认证密钥。
[0231] 本实施例中用户终端生成认证密钥的算法与认证服务器生成认证密钥的算法相同。
[0232] 步骤514,无线接入点和用户终端使用各自持有的认证密钥,协商生成本次连接所使用的临时密钥,使用临时密钥建立加密无线网络连接。
[0233] 可选的,无线接入点和用户终端使用各自持有的认证密钥作为PMK(Pairwise Master Key,主成对密钥),完成WPA2(Wi-Fi Protected Access II,Wi-Fi联盟推出的无线网络安全认证协议)加密协议。利用认证密钥作为PMK,协商生成本次连接使用的PTK(Pairwise Temporary Key,临时成对密钥),最后,使用PTK建立加密无线网络连接。
[0234] 在一个具体的例子中,用户终端接入无线接入点的过程如图5B所示。在图5B中,用户终端140向无线接入点120发送PSK请求加入包,其中PSK请求加入包中携带有用户终端的MAC地址,无线接入点120查询用户终端140当日内是否登录过,若是,则直接在无线接入点120本地查询上次登录的认证密钥;若否,则无线接入点120将用户终端140的MAC地址和无线接入点120的标识发送给认证服务器160,认证服务器160验证无线接入点120是否属于可信任无线接入点;在确认无线接入点属于可信任无线接入点后根据用户终端140的MAC地址、无线接入点120对应的无线网络的SSID和BSSID、用户终端MAC地址对应的密码和PSK请求加入包的当前时间使用哈希算法计算得到HASH2;并向无线接入点120发送计算得到HASH2,其中,HASH2为与用户终端140的MAC地址对应的认证密钥,用户终端140根据认证服务器相同的算法生成相同的HASH2;用户终端140与无线接入点120以持有的HASH2为PMK,协商建立加密无线网络连接。
[0235] 可选的,当用户终端是可以自身提供网络的终端时,用户终端在向认证服务器请求可信任无线接入点列表时,认证服务器可以向用户终端反馈新的密码,并强制将之前存储的用户名和密码中的密码更换为本次反馈的新的密码。
[0236] 综上所述,本实施例提供的无线网络连接方法,使得只有属于认证服务器中可信任无线接入点可以获取到用户终端的MAC地址对应的认证密钥,用户终端与无线接入点根据获取到的认证密钥协商建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
[0237] 同时,认证服务器与无线接入点之间通过加密通道进行数据传输,提高了传输过程中数据的安全性。
[0238] 另外,通过认证服务器向用户终端反馈新的密码,并强制将之前存储的用户名和密码中的密码更换为本次反馈的新的密码,可以使得在用户终端的MAC地址出现相同的情况时,生成的认证密钥是不相同的,解决了重复MAC地址的问题。
[0239] 需要说明的第一点是,无线接入点向认证服务器发送密钥查询请求的方式可以包括如下三种:
[0240] 作为第一种可能的实现方式,无线接入点向认证服务器发送密钥查询请求,密钥查询请求中携带有MAC地址、接入请求的时间、请求密钥指令和无线接入点的标识;
[0241] 作为第二种可能的实现方式,无线接入点向认证服务器发送密钥查询请求,密钥查询请求携带有MAC地址、接入请求的时间、请求密钥指令和无线接入点的标识;密钥查询请求是无线接入点使用与认证服务器对应的公钥进行加密的请求;
[0242] 作为第三种可能的实现方式,无线接入点向认证服务器发送密钥查询请求,密钥查询请求携带有第一密文和无线接入点的标识;密钥查询请求是无线接入点使用与认证服务器对应的公钥进行加密的请求,第一密文是无线接入点使用与无线接入点的标识对应的会话密钥对MAC地址、接入请求的日期和请求密钥指令进行加密的密文。
[0243] 图5A实施例中以第三种可能的实现方式进行举例说明。
[0244] 需要说明的第二点是,针对无线接入点向认证服务器发送密钥查询请求的方式的不同,认证服务器接收无线接入点的密钥查询请求的方式对应不相同:
[0245] 针对第一种可能的实现方式,认证服务器接收到密钥查询请求后,直接获取密钥查询请求中携带的MAC地址、接入请求的时间、请求密钥指令和无线接入点的标识;
[0246] 针对第二种可能的实现方式,认证服务器接收到密钥查询请求后,使用与认证服务器对应的私钥对密钥查询请求进行解密,获取密钥查询请求携带的MAC地址、接入请求的时间、请求密钥指令和无线接入点的标识;其中,密钥查询请求是无线接入点通过与认证服务器对应的公钥对第一密文和无线接入点的标识进行加密的请求。
[0247] 针对第三种可能的实现方式,如图5A实施例中的步骤504至步骤506所示。
[0248] 需要说明的第三点是,认证服务器将密钥查询结果发送给无线接入点的方式包括以下三种:
[0249] 作为第一种可能的实现方式,认证服务器直接通过加密通道将密钥查询结果发送给无线接入点;密钥查询结果携带有与用户终端的MAC地址对应的认证密钥。
[0250] 作为第二种可能的实现方式,认证服务器使用与认证服务器对应的私钥对密钥查询结果进行加密,将加密后的密钥查询结果发送给无线接入点;
[0251] 作为第三种可能的实现方式,认证服务器首先使用与无线接入点的标识对应的会话密钥对密钥查询结果进行第一加密;再使用与认证服务器对应的私钥对第一加密后的密钥查询结果进行第二加密;将第二加密后的密钥查询结果发送给无线接入点。
[0252] 图5A实施例中以第三种可能的实现方式进行举例说明。
[0253] 需要说明的第四点是,无线接入点在接收到用户终端发送的接入请求后,可能先查询在预定时间段内,该用户终端是否已经登录过,若已经登录过,则无线接入点直接从本地查询用户终端上次登录时的认证密钥;若没有登录过,则获取用户终端的MAC地址,向认证服务器发送密钥查询请求。可选的,用户终端在一天内重复登录一个无线接入点时,无线接入点只需在用户终端第一次发送接入请求时向认证服务器发送密钥查询请求,当天内再次登录时无线接入点直接从本地获取该用户终端上次登录的认证密钥即可。
[0254] 需要说明的第五点是,本发明实施例中,无线接入点与认证服务器在通过加密通道进行数据传输时,在传输的数据中还可以携带的信息有各自生成的随机数、发送数据的时间戳等。比如:无线接入点向认证服务器发送数据时,在数据中还携带有无线接入点生成的随机数、发送该数据的时间戳等信息。本发明实施例无线接入点与认证服务器进行数据传输过程中,除上述实施例中数据携带的信息外,对数据中还可以携带的信息不作具体限定。同理,用户终端与认证服务器通过独立通道进行数据传输时,在传输的数据中还可以携带的信息有各自生成的随机数、发送数据的时间戳等,此处不再赘述。针对数据还可以携带的信息的变换实施例都是本发明实施例的等同替换实施例,包含在本发明的保护范围之内。
[0255] 需要说明的第六点是,本实施例中有关认证服务器一侧的步骤可以单独实现成为认证服务器侧的无线网络连接方法;有关无线接入点一侧的步骤可以单独实现成为无线接入点侧的无线网络连接方法。
[0256] 基于图5A所示的实施例中,步骤507中,当用户终端在向认证服务器发送信息注册请求时,信息注册请求中未携带有用户终端的MAC地址,则认证服务器在向用户终端分配用户名和密码后,未存储有用户终端的MAC地址,因此,认证服务器在地址列表中查询是否存在用户终端的MAC地址的查询结果还包括不存在的情况,图5A所示的实施例中的步骤508至步骤514可以实现替换为步骤508a至步骤514a具体步骤如图6A所示:
[0257] 步骤508a,若不存在用户终端的MAC地址,则认证服务器向无线接入点发送密钥查询结果,密钥查询结果携带有与用户终端的MAC地址对应的错误报告。
[0258] 可选的,若认证服务器中的地址列表中不存在用户终端的MAC地址,则认证服务器向无线接入点发送携带有错误报告的密钥查询结果。
[0259] 其中,地址列表是认证服务器在用户终端注册成功时保存的用户终端的MAC地址的列表;错误报告是在不存在用户终端的MAC地址时,认证服务器根据用户终端的MAC地址生成的代码。
[0260] 对应地,无线接入点接收认证服务器发送的密钥查询结果。
[0261] 可选的,认证服务器可以采用图5A所示的实施例中需要说明的第三点中提供的三种方式向无线接入点发送携带有错误报告的密钥查询结果。详细方式请图5A所示的实施例中需要说明的第三点,本实施例中不再赘述。
[0262] 步骤509a,无线接入点获取到密钥查询结果中携带的与用户终端的MAC地址对应的错误报告后,至少根据无线接入点对应的无线网络的标识生成对应的认证密钥。
[0263] 可选的,无线接入点根据无线接入点对应的无线网络的SSID和无线接入点对应的无线网络的BSSID生成对应的认证密钥。
[0264] 可选的,无线接入点根据无线接入点对应的无线网络的SSID、无线接入点对应的无线网络的BSSID和接入请求的时间使用哈希算法计算得到对应的认证密钥。
[0265] 本实施例中对无线接入点生成认证密钥的算法不作具体限定。
[0266] 步骤510a,用户终端获取无线接入点对应的无线网络的标识。
[0267] 可选的,用户终端在向无线接入点发送接入请求时,获取该无线接入点对应的无线网络的标识。
[0268] 无线接入点对应的无线网络的标识包括:无线网络的SSID和无线网络的BSSID。
[0269] 步骤511a,用户终端至少根据无线接入点对应的无线网络的标识生成对应的认证密钥。
[0270] 可选的,用户终端根据无线接入点对应的无线网络的SSID和无线接入点对应的无线网络的BSSID生成对应的认证密钥。
[0271] 可选的,用户终端根据无线接入点对应的无线网络的SSID、无线接入点对应的无线网络的BSSID和接入请求的时间使用哈希算法计算得到对应的认证密钥。
[0272] 本实施例中用户终端生成认证密钥的算法与无线接入点生成认证密钥的算法相同。
[0273] 步骤512a,无线接入点和用户终端使用各自持有的认证密钥,协商生成本次连接所使用的临时密钥,使用临时密钥建立加密无线网络连接。
[0274] 可选的,无线接入点和用户终端使用各自持有的认证密钥作为PMK,完成WPA2加密协议。利用认证密钥作为PMK,协商生成本次连接使用的PTK,最后,使用PTK建立加密无线网络连接。
[0275] 步骤513a,无线接入点向用户终端发送用户终端的MAC地址。
[0276] 无线接入点与用户终端通过认证密钥协商建立加密无线网络后,无线接入点向用户终端发送用户终端的MAC地址。
[0277] 步骤514a,用户终端在接收到用户终端的MAC地址后,向认证服务器发送用户终端的绑定信息,绑定信息用于指示认证服务器为用户终端存储对应的MAC地址。
[0278] 可选的,绑定信息包括用户终端的MAC地址和用户终端的用户名,或,用户终端的MAC地址和用户终端的密码,或,用户终端的MAC地址、用户终端的用户名和用户终端的密码。其中,用户终端的用户名和用户终端的密码是认证服务器在用户终端注册时分配的。
[0279] 在一个具体的例子中,用户终端接入无线接入点的过程如图6B所示。用户终端140向无线接入点120发送PSK请求加入包,其中PSK请求加入包中携带有用户终端的MAC地址,无线接入点120查询用户终端140当日内是否登录过,若是,则直接在无线接入点120本地查询上次登录的认证密钥;若否,则无线接入点120将用户终端140的MAC地址和无线接入点120的标识发送给认证服务器160,认证服务器160验证无线接入点120是否属于可信任无线接入点;在确认无线接入点属于可信任无线接入点后根据用户终端140的MAC地址生成错误报告;并向无线接入点120发送错误报告,无线接入点根据无线接入点对应的无线网络的SSID、无线接入点对应的无线网络的BSSID和PSK请求加入包的当前时间使用哈希算法计算得到HASH1,用户终端140根据无线接入点对应的无线网络的SSID、无线接入点对应的无线网络的BSSID和PSK请求加入包的当前时间使用哈希算法计算得到HASH1;其中,HASH1为与用户终端140的MAC地址对应的认证密钥;用户终端140与无线接入点120以持有的相同的HASH1为PMK,协商建立加密无线网络连接。无线接入点120与用户终端140建立加密无线网络后,无线接入点120向用户终端140发送用户终端140的MAC地址;用户终端140将对应的MAC地址发送给认证服务器160进行绑定继续执行图4A实施例中的步骤401至步骤402。
[0280] 综上所述,本实施例提供的无线网络连接方法,使得只有属于认证服务器中可信任无线接入点可以计算生成与用户终端的MAC地址对应的认证密钥,用户终端与无线接入点根据获取到的认证密钥协商建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
[0281] 当认证服务器中预先未存储用户终端的MAC地址时,无线接入点与用户终端至少根据无线接入点对应的无线网络的标识各自生成对应的认证密钥,并根据持有的认证密钥建立加密无线网络,提高了无线网络连接过程的安全性,以及无线网络连接后交互数据的安全性。
[0282] 需要说明的一点是,本实施例中有关认证服务器一侧的步骤可以单独实现成为认证服务器侧的无线网络连接方法;有关无线接入点一侧的步骤可以单独实现成为无线接入点侧的无线网络连接方法。
[0283] 需要说明的另一点是,本发明实施例中的图3A实施例、图4A实施例、图5A实施例和图6A实施例可组合实现不同的无线网络接入方法。本发明实施例中对实施例的组合方式不作限定。
[0284] 在一个具体的实施例中,假如黑客设置假冒的无线接入点,该假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息。
[0285] 第一,用户终端在获取到假冒的无线接入点时,向该假冒的无线接入点发送接入请求,该接入请求中携带有用户终端对应的MAC地址。
[0286] 第二、假冒的无线接入点向认证服务器发送密钥查询请求,密钥查询请求携带有用户终端对应的MAC地址。
[0287] 假冒的无线接入点获取与认证服务器对应的公钥,并使用与认证服务器对应的公钥对密钥查询请求进行加密,并将加密后的密钥查询请求发送给认证服务器。
[0288] 第三、认证服务器通过与认证服务器对应的私钥对密钥查询请求进行解密,得到假冒的无线接入点的标识和用户终端的MAC地址。
[0289] 第四、认证服务器验证假冒的无线接入点的标识是否属于可信任标识。
[0290] 虽然假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息,但假冒的无线接入点的标识和真实的无线接入点的标识是不相同的,因此,认证服务器在验证假冒的无线接入点的标识是否属于可信任标识时,会将假冒的无线接入点确定为不可信任无线接入点。认证服务器在确定该无线接入点为假冒的无线接入点后,不会将执行以下的任何步骤。
[0291] 综上所述,假如黑客设置假冒的无线接入点,该假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息时,在图5A所示的实施例提供的无线网络接入方法中,假冒的无线接入点也无法与用户终端建立加密无线网络连接。在步骤504中,假冒的无线接入点的标识并不属于认证服务器存储的可信任标识,因此被认证服务器确定为不可信任无线接入点。因此,图5A实施例提供的无线网络接入方法,提高了用户终端传输的数据以及用户终端内部数据的安全性。
[0292] 请参考图7,其示出了本发明一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1中无线接入点的全部或一部分。该无线网络连接装置包括:
[0293] 请求接收模块710,用于接收用户终端发送的接入请求,接入请求携带有用户终端的MAC地址。
[0294] 请求发送模块720,用于向认证服务器发送密钥查询请求,密钥查询请求携带有用户终端的MAC地址。
[0295] 结果接收模块730,用于接收认证服务器发送的与用户终端的MAC地址对应的密钥查询结果,密钥查询结果是认证服务器在接收到密钥查询请求后,验证无线接入点属于可信任无线接入点时发送的。
[0296] 密钥获取模块740,用于根据密钥查询结果获取与用户终端的MAC地址对应的认证密钥。
[0297] 网络建立模块750,用于与用户终端根据各自持有的认证密钥协商建立加密无线网络连接。
[0298] 综上所述,本实施例提供的无线网络接入装置,通过接收用户终端发送的接入请求;向认证服务器发送密钥查询请求;接收认证服务器发送的与用户终端的MAC地址对应的密钥查询结果;根据密钥查询结果获取与用户终端的MAC地址对应的认证密钥;与用户终端根据各自持有的认证密钥协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户终端的MAC地址对应的认证密钥,从而根据认证密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
[0299] 请参考图8,其示出了本发明另一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1中无线接入点的全部或一部分。该无线网络连接装置包括:
[0300] 请求接收模块710,用于接收用户终端发送的接入请求,接入请求携带有用户终端的MAC地址。
[0301] 请求发送模块720,用于向认证服务器发送密钥查询请求,密钥查询请求携带有用户终端的MAC地址。
[0302] 结果接收模块730,用于接收认证服务器发送的与用户终端的MAC地址对应的密钥查询结果,密钥查询结果是认证服务器在接收到密钥查询请求后,验证无线接入点属于可信任无线接入点时发送的。
[0303] 密钥获取模块740,用于根据密钥查询结果获取与用户终端的MAC地址对应的认证密钥。
[0304] 在第一种可能的实现方式中,密钥获取模块740,还用于获取密钥查询结果中携带的与用户终端的MAC地址对应的认证密钥。
[0305] 在第二种可能的实现方式中,密钥获取模块740,可以包括:报告获取单元741和密钥生成单元742。
[0306] 报告获取单元741,用于获取密钥查询结果中携带的与用户终端的MAC地址对应的错误报告,错误报告是在认证服务器不存在用户终端的MAC地址时,认证服务器根据用户终端的MAC地址生成的代码。
[0307] 密钥生成单元742,用于至少根据无线接入点对应的无线网络的标识生成对应的认证密钥。
[0308] 网络建立模块750,用于与用户终端根据各自持有的认证密钥协商建立加密无线网络连接。
[0309] 在一种可能的实现方式中,该无线网络连接装置,还包括:地址发送模块760。
[0310] 地址发送模块760,用于向用户终端发送用户终端的MAC地址,以便用户终端向认证服务器发送用户终端的绑定信息,绑定信息包括用户终端的MAC地址和用户终端的用户名,或,用户终端的MAC地址和用户终端的密码,或,用户终端的MAC地址、用户终端的用户名和用户终端的密码。
[0311] 综上所述,本实施例提供的无线网络接入装置,通过接收用户终端发送的接入请求;向认证服务器发送密钥查询请求;接收认证服务器发送的与用户终端的MAC地址对应的密钥查询结果;根据密钥查询结果获取与用户终端的MAC地址对应的认证密钥;与用户终端根据各自持有的认证密钥协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户终端的MAC地址对应的认证密钥,从而根据认证密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
[0312] 同时,认证服务器与无线接入点之间通过加密通道进行数据传输,提高了传输过程中数据的安全性。
[0313] 另外,当认证服务器中预先未存储用户终端的MAC地址时,无线接入点与用户终端至少根据无线接入点对应的无线网络的标识各自生成对应的认证密钥,并根据持有的认证密钥建立加密无线网络,提高了无线网络连接过程的安全性,以及无线网络连接后交互数据的安全性。
[0314] 请参考图9,其示出了本发明一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1中认证服务器的全部或一部分。该无线网络连接装置包括:
[0315] 第一接收模块920,用于接收无线接入点发送的密钥查询请求,密钥查询请求携带有用户终端的MAC地址。
[0316] 信任验证模块940,用于在接收到密钥查询请求后,验证无线接入点是否属于可信任无线接入点。
[0317] 结果发送模块960,用于在无线接入点属于可信任无线接入点时向无线接入点发送与用户终端的MAC地址对应的密钥查询结果,以便无线接入点根据密钥查询结果获取与用户终端的MAC地址对应的认证密钥,并与用户终端根据各自持有的认证密钥协商建立加密无线网络连接。
[0318] 综上所述,本实施例提供的无线网络接入装置,通过接收无线接入点发送的密钥查询请求;在接收到密钥查询请求后,验证无线接入点是否属于可信任无线接入点;在无线接入点属于可信任无线接入点时向无线接入点发送与用户终端的MAC地址对应的密钥查询结果;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户终端的MAC地址对应的认证密钥,从而根据认证密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
[0319] 请参考图10,其示出了本发明一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1中认证服务器的全部或一部分。该无线网络连接装置包括:
[0320] 第一接收模块920,用于接收无线接入点发送的密钥查询请求,密钥查询请求携带有用户终端的MAC地址。
[0321] 信任验证模块940,用于在接收到密钥查询请求后,验证无线接入点是否属于可信任无线接入点。
[0322] 在一种可能的实现方式中,信任验证模块940,可以包括:标识获取单元941、标识验证单元942和信任验证单元943。
[0323] 标识获取单元941,用于获取密钥查询请求中携带的第一密文和无线接入点的标识。
[0324] 标识验证单元942,用于验证无线接入点的标识是否属于可信任标识。
[0325] 信任验证单元943,用于在无线接入点的标识属于可信任标识时,将无线接入点验证为可信任无线接入点。
[0326] 其中,可信任标识是指成功通过认证服务器的身份认证的无线接入点的标识,第一密文包括用户终端的MAC地址。
[0327] 结果发送模块960,用于在无线接入点属于可信任无线接入点时向无线接入点发送与用户终端的MAC地址对应的密钥查询结果,以便无线接入点根据密钥查询结果获取与用户终端的MAC地址对应的认证密钥,并与用户终端根据各自持有的认证密钥协商建立加密无线网络连接。
[0328] 在第一种可能的实现方式中,结果发送模块960,可以包括:密钥查询单元961、地址解密单元962、地址查询单元963、密钥生成单元964和第一发送单元965。
[0329] 密钥查询单元961,用于在无线接入点属于可信任无线接入点时,查询与无线接入点的标识对应的会话密钥。
[0330] 地址解密单元962,用于使用与无线接入点的标识对应的会话密钥对密钥查询请求中携带的第一密文进行解密,得到用户终端的MAC地址。
[0331] 地址查询单元963,用于在地址列表中查询是否存在用户终端的MAC地址。
[0332] 密钥生成单元964,用于在存在用户终端的MAC地址时,至少根据用户终端的MAC地址和无线接入点对应的无线网络的标识生成与用户终端MAC对应的认证密钥。
[0333] 第一发送单元965,用于向无线接入点发送密钥查询结果,密钥查询结果携带有与用户终端的MAC地址对应的认证密钥。
[0334] 其中,第一密文是无线接入点通过与无线接入点的标识对应的会话密钥对用户终端的MAC地址进行加密的密文;与无线接入点的标识对应的会话密钥是在无线接入点注册成功时认证服务器保存的;地址列表是认证服务器在用户终端注册成功时保存的用户终端的MAC地址的列表。
[0335] 在第二种可能的实现方式中,结果发送模块960,可以包括:密钥查询单元961、地址解密单元962、地址查询单元963和第二发送单元966。
[0336] 第二发送单元966,用于在不存在用户终端的MAC地址时,向无线接入点发送密钥查询结果,密钥查询结果携带有与用户终端的MAC地址对应的错误报告。
[0337] 其中,错误报告是在不存在用户终端的MAC地址时,认证服务器根据用户终端的MAC地址生成的代码。
[0338] 综上所述,本实施例提供的无线网络接入装置,通过接收无线接入点发送的密钥查询请求;在接收到密钥查询请求后,验证无线接入点是否属于可信任无线接入点;在无线接入点属于可信任无线接入点时向无线接入点发送与用户终端的MAC地址对应的密钥查询结果;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户终端的MAC地址对应的认证密钥,从而根据认证密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
[0339] 另外,当认证服务器中预先未存储用户终端的MAC地址时,无线接入点与用户终端至少根据无线接入点对应的无线网络的标识各自生成对应的认证密钥,并根据持有的认证密钥建立加密无线网络,提高了无线网络连接过程的安全性,以及无线网络连接后交互数据的安全性。
[0340] 请参考图11,其示出了本发明实施例提供的一种无线网络连接系统的结构方框图,该系统包括:用户终端1120、无线接入点1140和认证服务器1160;
[0341] 用户终端1120,用于向无线接入点发送接入请求;
[0342] 无线接入点1140,包括如图7所示实施例或图8所示实施例任一所述的无线网络连接装置;
[0343] 认证服务器1160,包括如图9所示实施例或图10所示实施例任一所述的无线网络连接装置。
[0344] 需要说明的是:上述实施例提供的无线网络连接的装置在连接无线网络时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的无线网络连接的装置与无线网络连接的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
[0345] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0346] 本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0347] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。