專利名稱:一種無線接入的認(rèn)證方法、系統(tǒng)及無線路由器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域,尤其涉及一種無線接入的認(rèn)證方法、無線路由器及無線接入的認(rèn)證系統(tǒng)。
背景技術(shù):
無線網(wǎng)絡(luò)的使用越來越普遍,同時(shí)無線網(wǎng)絡(luò)的出現(xiàn),也給IT業(yè)帶來了新的信息安全問題。因?yàn)槟壳艾F(xiàn)有的防攻擊技術(shù)不能有效的應(yīng)用于無線網(wǎng)絡(luò),如傳統(tǒng)有線網(wǎng)絡(luò)所使用的防火墻和代理服務(wù)器這一類邊界防范設(shè)備,無線網(wǎng)絡(luò)因很難通過這一類邊界防范設(shè)備控制用戶的接入。通常一個(gè)無線訪問點(diǎn)對(duì)其內(nèi)部的所有用戶都是公開的,入侵者可以很容易的接入無線網(wǎng)絡(luò),訪問各種資源。隨著黑客入侵的技術(shù)水平不斷提高,攻擊規(guī)模日益擴(kuò)大,無線網(wǎng)絡(luò)的安全問題已逐漸成為通訊領(lǐng)域的關(guān)鍵問題。
發(fā)明內(nèi)容
本發(fā)明提供一種無線接入的認(rèn)證方法、無線路由器及無線接入的認(rèn)證系統(tǒng),解決無線網(wǎng)絡(luò)的安全問題。為解決上述技術(shù)問題,本發(fā)明采用以下技術(shù)方案:一種無線接入的認(rèn)證方法,包括:無線路由器對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證;驗(yàn)證通過后,允許所述無線接入終端接入。所述無線路由器對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證之前,還包括:無線路由器與無線接入終端協(xié)商一對(duì)稱密鑰;無線路由器對(duì)無線接入終端發(fā)送的利用所述對(duì)稱密鑰加密后的待驗(yàn)證信息進(jìn)行解密;所述無線路由器對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證具體為:對(duì)解密后的待驗(yàn)證信息進(jìn)行驗(yàn)證。所述待驗(yàn)證信息為所述無線接入終端使用PIK (Platform Identity Key,平臺(tái)身份密鑰)證書或PEK (Platform Encryption Key,平臺(tái)加密密鑰)證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息;所述簽名信息驗(yàn)證通過后,允許所述無線接入終端接入;或者,所述待驗(yàn)證信息包括MAC地址信息和所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息;所述MAC地址信息和所述簽名信息均驗(yàn)證通過后,允許所述無線接入終端接入。無線路由器對(duì)所述簽名信息進(jìn)行驗(yàn)證的過程包括:無線路由器接收無線接入終端發(fā)送的特征信息;無線路由器根據(jù)所述特征信息從預(yù)設(shè)的允許接入終端的PIK證書或PEK證書列表中獲取所述無線接入終端的PIK證書或PEK證書,并利用所述PIK證書或PEK證書驗(yàn)證所述簽名信息。無線路由器對(duì)所述MAC地址信息進(jìn)行驗(yàn)證的過程包括:無線路由器判斷無線接入終端發(fā)送的MAC地址信息是否存在于預(yù)設(shè)的允許接入的MAC地址信息列表中;如果存在,則所述MAC地址信息驗(yàn)證通過。一種無線路由器,包括第一信息收發(fā)模塊、驗(yàn)證模塊和接入模塊,其中,所述第一信息收發(fā)模塊用于接收無線接入終端發(fā)送的待驗(yàn)證信息;所述驗(yàn)證模塊用于對(duì)所述第一信息收發(fā)模塊接收到的待驗(yàn)證信息進(jìn)行驗(yàn)證;所述接入模塊用于所述驗(yàn)證通過后,允許所述無線接入終端接入。還包括第一可信計(jì)算模塊和解密模塊,其中,所述第一可信計(jì)算模塊用于產(chǎn)生與所述無線接入終端協(xié)商過的一對(duì)稱密鑰;所述第一信息收發(fā)模塊具體用于接收所述無線接入終端發(fā)送的利用所述對(duì)稱密鑰加密后的待驗(yàn)證信息;所述解密模塊用于利用所述第一可信計(jì)算模塊產(chǎn)生的所述對(duì)稱密鑰,對(duì)所述第一信息收發(fā)模塊收到的加密后的待驗(yàn)證信息進(jìn)行解密;所述驗(yàn)證模塊具體用于對(duì)所述解密模塊解密后的待驗(yàn)證信息進(jìn)行驗(yàn)證。所述第一信息收發(fā)模塊具體用于接收無線接入終端發(fā)送的簽名信息,或者所述第一信息收發(fā)模塊具體用于接收無線接入終端發(fā)送的MAC地址信息和所述簽名信息;所述驗(yàn)證模塊具體用于對(duì)所述簽名信息進(jìn)行驗(yàn)證,或者所述驗(yàn)證模塊具體用于對(duì)所述MAC地址信息和所述簽名信息進(jìn)行驗(yàn)證;所述接入模塊具體用于所述簽名信息驗(yàn)證通過后,允許所述無線接入終端接入,或者所述接入模塊具體用于所述MAC地址信息和所述簽名信息均驗(yàn)證通過后,允許所述無線接入終端接入;所述簽名信息為所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到。所述驗(yàn)證模塊用于對(duì)所述簽名信息進(jìn)行驗(yàn)證的過程包括:根據(jù)所述第一信息收發(fā)模塊接收到的無線接入終端發(fā)送的特征信息,從預(yù)設(shè)的允許接入終端的PIK證書或PEK證書列表中獲取所述無線接入終端的PIK證書或PEK證書,并利用所述PIK證書或PEK證書驗(yàn)證所述簽名信息。所述驗(yàn)證模塊用于對(duì)所述MAC地址信息進(jìn)行驗(yàn)證的過程包括:判斷無線接入終端發(fā)送的MAC地址信息是否存在于預(yù)設(shè)的允許接入的MAC地址信息列表中;如果存在,則所述MAC地址信息驗(yàn)證通過。一種無線接入的認(rèn)證系統(tǒng),包括無線路由器和至少一個(gè)無線接入終端,其中,所述無線接入終端用于向所述無線路由器發(fā)送待驗(yàn)證信息;所述無線路由器用于對(duì)所述無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證,并在驗(yàn)證通過后,允許所述無線接入終端接入。所述無線路由器包括第一可信計(jì)算模塊、第一信息收發(fā)模塊、解密模塊、驗(yàn)證模塊和接入模塊,所述無線接入終端包括第二可信計(jì)算模塊、加密模塊和第二信息收發(fā)模塊,其中,所述第二可信計(jì)算模塊用于產(chǎn)生與所述第一可信計(jì)算模塊協(xié)商過的一對(duì)稱密鑰;所述加密模塊用于利用所述第二可信計(jì)算模塊產(chǎn)生的所述對(duì)稱密鑰,對(duì)發(fā)送至所述第一信息收發(fā)模塊的待驗(yàn)證信息進(jìn)行加密;所述第二信息收發(fā)模塊用于向所述第一信息收發(fā)模塊發(fā)送所述加密模塊加密后的待驗(yàn)證信息;所述第一可信計(jì)算模塊用于產(chǎn)生與所述第二可信計(jì)算模塊協(xié)商過的所述對(duì)稱密鑰;所述第一信息收發(fā)模塊用于接收所述第二信息收發(fā)模塊發(fā)送的所述加密模塊加密后的待驗(yàn)證信息;所述解密模塊用于利用所述第一可信計(jì)算模塊產(chǎn)生的所述對(duì)稱密鑰,對(duì)所述第一信息收發(fā)模塊收到的所述加密后的待驗(yàn)證信息進(jìn)行解密;所述驗(yàn)證模塊用于對(duì)所述解密模塊解密后的待驗(yàn)證信息進(jìn)行驗(yàn)證; 所述接入模塊用于所述驗(yàn)證通過后,允許所述無線接入終端接入。所述待驗(yàn)證信息為所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息,或者所述待驗(yàn)證信息包括MAC地址信息和所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息;所述接入模塊具體用于所述簽名信息驗(yàn)證通過后,允許所述無線接入終端接入;或者所述接入模塊具體用于所述MAC地址信息和所述簽名信息均驗(yàn)證通過后,允許所述無線接入終端接入。本發(fā)明提供一種無線接入的認(rèn)證方法、無線路由器及無線接入的認(rèn)證系統(tǒng),通過無線路由器與無線接入終端之間的認(rèn)證過程,解決無線網(wǎng)絡(luò)的安全問題。
圖1為本發(fā)明實(shí)施例一種無線接入的認(rèn)證方法的流程圖;圖2為本發(fā)明另一實(shí)施例一種無線接入的認(rèn)證方法的流程的流程圖;圖3為本發(fā)明另一實(shí)施例一種無線接入的認(rèn)證方法的流程的流程圖;圖4為本發(fā)明實(shí)施例一種無線路由器的框架圖;圖5為本發(fā)明實(shí)施例一種無線接入的認(rèn)證系統(tǒng)的框架圖。
具體實(shí)施例方式圖1為本發(fā)明實(shí)施例一種無線接入的認(rèn)證方法的流程圖,請(qǐng)參考圖1:S11、無線路由器對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證;S12、驗(yàn)證通過后,允許所述無線接入終端接入。驗(yàn)證未通過時(shí),拒絕無線接入終端接入,還可以進(jìn)一步統(tǒng)計(jì)認(rèn)證失敗的次數(shù),當(dāng)該次數(shù)達(dá)到一預(yù)設(shè)值時(shí),將該無線接入終端記入惡意接入黑名單。無線路由器所驗(yàn)證的待驗(yàn)證信息包括多種,可以為無線接入終端的簽名信息,該的簽名信息可以是無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息;還可以為無線接入終端的MAC地址信息和該簽名信息。為了進(jìn)一步保證無線接入的安全,無線路由器所驗(yàn)證的待驗(yàn)證信息可以是先經(jīng)過無線接入終端加密,再經(jīng)過無線路由器解密后的驗(yàn)證信息。下面以待驗(yàn)證信息為無線接入終端的簽名信息為例,通過具體實(shí)施方式
結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明。圖2為本發(fā)明另一實(shí)施例一種無線接入的認(rèn)證方法的流程的流程圖,請(qǐng)參考圖2:S21、無線路由器與無線接入終端協(xié)商一對(duì)稱密鑰;S22、無線接入終端獲取終端特征信息,比如終端名、用戶名、當(dāng)前時(shí)間等信息,無線接入終端的可信計(jì)算芯片對(duì)該特征信息進(jìn)行哈希產(chǎn)生摘要信息,并利用無線接入終端的PIK證書或PEK證書對(duì)該摘要信息進(jìn)行簽名得到簽名信息,然后無線接入終端利用所協(xié)商的對(duì)稱密鑰對(duì)終端特征信息和簽名信息進(jìn)行加密,將加密后的信息發(fā)送給無線路由器;S23、無線路由器利用所協(xié)商的對(duì)稱密鑰對(duì)加密信息進(jìn)行解密,得到解密后的無線接入終端的特征信息和簽名信息;S24、無線路由器驗(yàn)證該簽名信息,如果簽名信息驗(yàn)證通過,則進(jìn)入步驟S25,否則,進(jìn)入步驟S26 ;驗(yàn)證該簽名信息的方法可以是:無線路由器根據(jù)該特征信息從預(yù)設(shè)的允許接入終端的P IK證書或PEK證書列表中獲取該無線接入終端的PIK證書或PEK證書,并利用該P(yáng)IK證書或PEK證書驗(yàn)證該簽名信息。S25、允許無線接入終端的接入,接入成功。S26、拒絕無線接入終端的接入,同時(shí)累計(jì)未通過驗(yàn)證的次數(shù),當(dāng)該次數(shù)達(dá)到一預(yù)設(shè)值時(shí),將該無線接入終端記入惡意接入黑名單。下面以待驗(yàn)證信息為無線接入終端的MAC地址信息和簽名信息為例,圖3為本發(fā)明另一實(shí)施例一種無線接入的認(rèn)證方法的流程的流程圖,請(qǐng)從參考圖3:S31、無線路由器與無線接入終端協(xié)商一對(duì)稱密鑰;S32、無線接入終端獲取終端特征信息,比如終端名、用戶名、當(dāng)前時(shí)間等信息,無線接入終端的可信計(jì)算芯片對(duì)該特征信息進(jìn)行哈希產(chǎn)生摘要信息,并利用無線接入終端的PIK證書或PEK證書對(duì)該摘要信息進(jìn)行簽名得到簽名信息,然后無線接入終端利用所協(xié)商的對(duì)稱密鑰對(duì)終端特征信息、簽名信息和MAC地址信息進(jìn)行加密,將加密后的信息發(fā)送給無線路由器;S33、無線路由器利用所協(xié)商的對(duì)稱密鑰對(duì)加密信息進(jìn)行解密,得到解密后的無線接入終端的特征信息、簽名信息和MAC地址信息;S34、無線路由器驗(yàn)證該簽名信息和MAC地址信息,如果簽名信息和MAC地址信息均驗(yàn)證通過,則進(jìn)入步驟S35,否則,進(jìn)入步驟S36 ;驗(yàn)證該簽名信息的方法可以包括:無線路由器根據(jù)該特征信息從預(yù)設(shè)的允許接入終端的PIK證書或PEK證書列表中獲取該無線接入終端的PIK證書或PEK證書,并利用該P(yáng)IK證書或PEK證書驗(yàn)證該簽名信息;驗(yàn)證該MAC地址信息的方法可以包括:無線路由器判斷無線接入終端發(fā)送的MAC地址信息是否存在于預(yù)設(shè)的允許接入的MAC地址信息列表中;如果存在,則該MAC地址信息驗(yàn)證通過,否則,該MAC地址信息驗(yàn)證失敗。簽名信息和MAC地址信息的驗(yàn)證可以同時(shí)進(jìn)行,也可以先驗(yàn)證MAC地址信息,MAC地址信息驗(yàn)證未通過時(shí),拒絕接入,在MAC地址信息驗(yàn)證通過的條件下,再驗(yàn)證簽名信息;或者也可以先驗(yàn)證簽名信息,簽名信息驗(yàn)證未通過時(shí),拒絕接入,在簽名信息驗(yàn)證通過的條件下,再驗(yàn)證MAC地址信息;S35、允許無線接入終端的接入,接入成功。
S36、拒絕無線接入終端的接入,同時(shí)累計(jì)未認(rèn)證失敗的次數(shù),當(dāng)該次數(shù)達(dá)到一預(yù)設(shè)值時(shí),將該無線接入終端記入惡意接入黑名單。本發(fā)明還包括一種無線路由器,包括第一信息收發(fā)模塊、驗(yàn)證模塊和接入模塊,其中,第一信息收發(fā)模塊用于接收無線接入終端發(fā)送的待驗(yàn)證信息;驗(yàn)證模塊用于對(duì)所述第一信息收發(fā)模塊接收到的待驗(yàn)證信息進(jìn)行驗(yàn)證;接入模塊用于所述驗(yàn)證通過后,允許所述無線接入終端接入。圖4為本發(fā)明實(shí)施例一種無線路由器的框架圖,請(qǐng)參考圖4:一種無線路由器,包括第一信息收發(fā)模塊41、第一可信計(jì)算模塊42、解密模塊43、驗(yàn)證模塊44和接入模塊45,其中,第一可信計(jì)算模塊42用于產(chǎn)生與無線接入終端協(xié)商過的一對(duì)稱密鑰;第一信息收發(fā)模塊41用于接收無線接入終端發(fā)送的利用該協(xié)商過的對(duì)稱密鑰加密后的待驗(yàn)證信息;解密模塊43用于利用第一可信計(jì)算模塊42產(chǎn)生的該對(duì)稱密鑰,對(duì)第一信息收發(fā)模塊41收到的加密后的待驗(yàn)證信息進(jìn)行解密;驗(yàn)證模塊44用于對(duì)解密模塊43解密后的待驗(yàn)證信息進(jìn)行驗(yàn)證;接入模塊45用于驗(yàn)證模塊44的驗(yàn)證通過后,允許該無線接入終端接入。進(jìn)一步,待驗(yàn)證信息為無線接入終端發(fā)送的簽名信息,或者為無線接入終端發(fā)送的MAC地址信息和簽名信息,簽名信息為無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到;第一信息收發(fā)模塊41具體用于接收無線接入終端發(fā)送的簽名信息,或者接收無線接入終端發(fā)送的MAC地址信息和簽名信息;驗(yàn)證模塊44具體用于對(duì)該簽名信息進(jìn)行驗(yàn)證,或者,對(duì)MAC地址信息和簽名信息均進(jìn)行驗(yàn)證;接入模塊具體用于簽名信息驗(yàn)證通過后,允許無線接入終端接入,或者M(jìn)AC地址信息和簽名信息均驗(yàn)證通過后,允許無線接入終端接入;進(jìn)一步,驗(yàn)證模塊44用于對(duì)簽名信息進(jìn)行驗(yàn)證的過程包括:根據(jù)第一信息收發(fā)模塊41接收到的無線接入終端發(fā)送的特征信息,從預(yù)設(shè)的允許接入終端的PIK證書或PEK證書列表中獲取所述無線接入終端的PIK證書或PEK證書,并利用該P(yáng)IK證書或PEK證書驗(yàn)證該簽名信息。驗(yàn)證模塊用于對(duì)MAC地址信息進(jìn)行驗(yàn)證的過程包括:判斷無線接入終端發(fā)送的MAC地址信息是否存在于預(yù)設(shè)的允許接入的MAC地址信息列表中;如果存在,則MAC地址信息驗(yàn)證通過,否則,MAC地址信息驗(yàn)證失敗。本發(fā)明還包括一種無線接入的認(rèn)證系統(tǒng),包括無線路由器和至少一個(gè)無線接入終端,其中,無線接入終端用于向無線路由器發(fā)送待驗(yàn)證信息;無線路由器用于對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證,并在驗(yàn)證通過后,允許該無線接入終端接入。以無線路由器和一個(gè)無線接入終端為例,圖5為本發(fā)明實(shí)施例一種無線接入的認(rèn)證系統(tǒng)的框架圖,請(qǐng)參考圖5:一種無線接入的認(rèn)證系統(tǒng),包括無線路由器和一個(gè)無線接入終端,無線接入終端包括第二可信計(jì)算模塊51、加密模塊52和第二信息收發(fā)模塊53,無線路由器包括第一信息收發(fā)模塊41、第一可信計(jì)算模塊42、解密模塊43、驗(yàn)證模塊44和接入模塊45,其中,第二可信計(jì)算模塊51用于產(chǎn)生與第一可信計(jì)算模塊42協(xié)商過的一對(duì)稱密鑰;加密模塊52用于利用第二可信計(jì)算模塊51產(chǎn)生的所述對(duì)稱密鑰,對(duì)發(fā)送至第一信息收發(fā)模塊41的待驗(yàn)證信息進(jìn)行加密;第二信息收發(fā)模塊53用于向第一信息收發(fā)模塊41發(fā)送加密模塊52加密后的待驗(yàn)證信息;第一可信計(jì)算模塊42用于產(chǎn)生與第二可信計(jì)算模塊51協(xié)商過的所述對(duì)稱密鑰;第一信息收發(fā)模塊41用于接收第二信息收發(fā)模塊53發(fā)送的加密模塊52加密后的待驗(yàn)證信息;解密模塊43用于利用第一可信計(jì)算模塊42產(chǎn)生的所述對(duì)稱密鑰,對(duì)第一信息收發(fā)模塊41收到的所述加密后的待驗(yàn)證信息進(jìn)行解密;驗(yàn)證模塊44用于對(duì)解密模塊43解密后的待驗(yàn)證信息進(jìn)行驗(yàn)證;接入模塊45用于驗(yàn)證通過后,允許該無線接入終端接入。進(jìn)一步,待驗(yàn)證信息為無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息,或者待驗(yàn)證信息包括MAC地址信息和所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息;加密模塊52用于利用第二可信計(jì)算模塊51產(chǎn)生的所述對(duì)稱密鑰,對(duì)發(fā)送至第一信息收發(fā)模塊41的簽名信息進(jìn)行加密,或者對(duì)發(fā)送至第一信息收發(fā)模塊41的MAC地址信息和簽名信息進(jìn)行加密;第二信息收發(fā)模塊53用于向第一信息收發(fā)模塊41發(fā)送加密模塊52加密后的簽名信息,或者向第一信息收發(fā)模塊41發(fā)送加密模塊52加密后的MAC地址信息和簽名信息;解密模塊43用于利用第一可信計(jì)算模塊42產(chǎn)生的所述對(duì)稱密鑰,對(duì)第一信息收發(fā)模塊41收到的所述加密后的簽名信息進(jìn)行解密,或者對(duì)第一信息收發(fā)模塊41收到的所述加密后的MAC地址信息和簽名信息進(jìn)行解密;驗(yàn)證模塊44用于對(duì)解密模塊43解密后的簽名信息進(jìn)行驗(yàn)證,或者對(duì)解密模塊43解密后的MAC地址信息和簽名信息進(jìn)行驗(yàn)證;接入模塊45用于該簽名信息驗(yàn)證通過后,允許該無線接入終端接入;或者接入模塊45用于該MAC地址信息和該簽名信息均驗(yàn)證通過后,允許該無線接入終端接入。因可信計(jì)算模塊在數(shù)據(jù)加解密、數(shù)據(jù)的安全存儲(chǔ)等方面具有高安全性,本發(fā)明可利用可信計(jì)算模塊增強(qiáng)無線接入的安全性,防止無線路由器的數(shù)據(jù)被截獲后破解及重放攻擊等。為進(jìn)一步提高無線網(wǎng)絡(luò)的安全性,本發(fā)明還可以將對(duì)稱密鑰保存在可信計(jì)算芯片的非易失性存儲(chǔ)空間,防止密鑰的丟失;還可以將允許接入終端的PIK證書或PEK證書列表、允許接入的MAC地址信息列表保存在無線路由器的可信計(jì)算芯片的非易失性存儲(chǔ)空間,防止非法篡改。以上內(nèi)容是結(jié)合具體的實(shí)施方式對(duì)本發(fā)明所作的進(jìn)一步詳細(xì)說明,不能認(rèn)定本發(fā)明的具體實(shí)施只局限于這些說明。對(duì)于本發(fā)明所屬技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干簡(jiǎn)單推演或替換,都應(yīng)當(dāng)視為屬于本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種無線接入的認(rèn)證方法,其特征在于,包括: 無線路由器對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證; 驗(yàn)證通過后,允許所述無線接入終端接入。
2.如權(quán)利要求1所述的方法,其特征在于,所述無線路由器對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證之前,還包括:無線路由器與無線接入終端協(xié)商一對(duì)稱密鑰;無線路由器對(duì)無線接入終端發(fā)送的利用所述對(duì)稱密鑰加密后的待驗(yàn)證信息進(jìn)行解密;所述無線路由器對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證具體為:對(duì)解密后的待驗(yàn)證信息進(jìn)行驗(yàn)證。
3.如權(quán)利要求1或2所述的方法,其特征在于,所述待驗(yàn)證信息為所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息;所述簽名信息驗(yàn)證通過后,允許所述無線接入終端接入;或者, 所述待驗(yàn)證信息包括MAC地址信息·和所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息;所述MAC地址信息和所述簽名信息均驗(yàn)證通過后,允許所述無線接入終端接入。
4.如權(quán)利要求3所述的方法,其特征在于,無線路由器對(duì)所述簽名信息進(jìn)行驗(yàn)證的過程包括: 無線路由器接收無線接入終端發(fā)送的特征信息; 無線路由器根據(jù)所述特征信息從預(yù)設(shè)的允許接入終端的PIK證書或PEK證書列表中獲取所述無線接入終端的PIK證書或PEK證書,并利用所述PIK證書或PEK證書驗(yàn)證所述簽名信息。
5.如權(quán)利要求3所述的方法,其特征在于,無線路由器對(duì)所述MAC地址信息進(jìn)行驗(yàn)證的過程包括:無線路由器判斷無線接入終端發(fā)送的MAC地址信息是否存在于預(yù)設(shè)的允許接入的MAC地址信息列表中;如果存在,則所述MAC地址信息驗(yàn)證通過。
6.一種無線路由器,其特征在于,包括第一信息收發(fā)模塊、驗(yàn)證模塊和接入模塊,其中, 所述第一信息收發(fā)模塊用于接收無線接入終端發(fā)送的待驗(yàn)證信息; 所述驗(yàn)證模塊用于對(duì)所述第一信息收發(fā)模塊接收到的待驗(yàn)證信息進(jìn)行驗(yàn)證; 所述接入模塊用于所述驗(yàn)證通過后,允許所述無線接入終端接入。
7.如權(quán)利要求6所述的無線路由器,其特征在于,還包括第一可信計(jì)算模塊和解密模塊,其中, 所述第一可信計(jì)算模塊用于產(chǎn)生與所述無線接入終端協(xié)商過的一對(duì)稱密鑰; 所述第一信息收發(fā)模塊具體用于接收所述無線接入終端發(fā)送的利用所述對(duì)稱密鑰加密后的待驗(yàn)證信息; 所述解密模塊用于利用所述第一可信計(jì)算模塊產(chǎn)生的所述對(duì)稱密鑰,對(duì)所述第一信息收發(fā)模塊收到的加密后的待驗(yàn)證信息進(jìn)行解密; 所述驗(yàn)證模塊具體用于對(duì)所述解密模塊解密后的待驗(yàn)證信息進(jìn)行驗(yàn)證。
8.如權(quán)利要求6或7所述的無線路由器,其特征在于,所述第一信息收發(fā)模塊具體用于接收無線接入終端發(fā)送的簽名信息,或者所述第一信息收發(fā)模塊具體用于接收無線接入終端發(fā)送的MAC地址信息和所述簽名信息; 所述驗(yàn)證模塊具體用于對(duì)所述簽名信息進(jìn)行驗(yàn)證,或者所述驗(yàn)證模塊具體用于對(duì)所述MAC地址信息和所述簽名信息進(jìn)行驗(yàn)證;所述接入模塊具體用于所述簽名信息驗(yàn)證通過后,允許所述無線接入終端接入,或者所述接入模塊具體用于所述MAC地址信息和所述簽名信息均驗(yàn)證通過后,允許所述無線接入終端接入; 所述簽名信息為所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到。
9.如權(quán)利要求8所述的無線路由器,其特征在于,所述驗(yàn)證模塊用于對(duì)所述簽名信息進(jìn)行驗(yàn)證的過程包括:根據(jù)所述第一信息收發(fā)模塊接收到的無線接入終端發(fā)送的特征信息,從預(yù)設(shè)的允許接入終端的PIK證書或PEK證書列表中獲取所述無線接入終端的PIK證書或PEK證書,并利用所述PIK證書或PEK證書驗(yàn)證所述簽名信息。
10.如權(quán)利要求8所述的無線路由器,其特征在于,所述驗(yàn)證模塊用于對(duì)所述MAC地址信息進(jìn)行驗(yàn)證的過程包括:判斷無線接入終端發(fā)送的MAC地址信息是否存在于預(yù)設(shè)的允許接入的MAC地址信息列表中;如果存在,則所述MAC地址信息驗(yàn)證通過。
11.一種無線接入的認(rèn)證系統(tǒng),其特征在于,包括無線路由器和至少一個(gè)無線接入終端,其中, 所述無線接入終端用于向所述無線路由器發(fā)送待驗(yàn)證信息; 所述無線路由器用于對(duì)所述無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證,并在驗(yàn)證通過后,允許所述無線接入終端接入。
12.如權(quán)利要求·11所述的系統(tǒng),其特征在于,所述無線路由器包括第一可信計(jì)算模塊、第一信息收發(fā)模塊、解密模塊、驗(yàn)證模塊和接入模塊,所述無線接入終端包括第二可信計(jì)算模塊、加密模塊和第二信息收發(fā)模塊,其中, 所述第二可信計(jì)算模塊用于產(chǎn)生與所述第一可信計(jì)算模塊協(xié)商過的一對(duì)稱密鑰; 所述加密模塊用于利用所述第二可信計(jì)算模塊產(chǎn)生的所述對(duì)稱密鑰,對(duì)發(fā)送至所述第一信息收發(fā)模塊的待驗(yàn)證信息進(jìn)行加密; 所述第二信息收發(fā)模塊用于向所述第一信息收發(fā)模塊發(fā)送所述加密模塊加密后的待驗(yàn)證信息; 所述第一可信計(jì)算模塊用于產(chǎn)生與所述第二可信計(jì)算模塊協(xié)商過的所述對(duì)稱密鑰; 所述第一信息收發(fā)模塊用于接收所述第二信息收發(fā)模塊發(fā)送的所述加密模塊加密后的待驗(yàn)證信息; 所述解密模塊用于利用所述第一可信計(jì)算模塊產(chǎn)生的所述對(duì)稱密鑰,對(duì)所述第一信息收發(fā)模塊收到的所述加密后的待驗(yàn)證信息進(jìn)行解密; 所述驗(yàn)證模塊用于對(duì)所述解密模塊解密后的待驗(yàn)證信息進(jìn)行驗(yàn)證; 所述接入模塊用于所述驗(yàn)證通過后,允許所述無線接入終端接入。
13.如權(quán)利要求11或12所述的系統(tǒng),其特征在于,所述待驗(yàn)證信息為所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息,或者所述待驗(yàn)證信息包括MAC地址信息和所述無線接入終端使用PIK證書或PEK證書對(duì)終端特征信息產(chǎn)生的消息摘要進(jìn)行簽名后得到的簽名信息;所述接入模塊具體用于所述簽名信息驗(yàn)證通過后,允許所述無線接入終端接入;或者所述接入模塊具體用于所述MAC地址信息和所述簽名信息均驗(yàn)證通過后,允許所述無線接入終端接入。
全文摘要
本發(fā)明公開一種無線接入的認(rèn)證方法、系統(tǒng)及無線路由器,該方法包括無線路由器對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證,驗(yàn)證通過后,允許無線接入終端接入;無線路由器包括第一信息收發(fā)模塊、驗(yàn)證模塊和接入模塊,第一信息收發(fā)模塊用于接收無線接入終端發(fā)送的待驗(yàn)證信息,驗(yàn)證模塊用于對(duì)第一信息收發(fā)模塊接收到的待驗(yàn)證信息進(jìn)行驗(yàn)證,接入模塊用于驗(yàn)證通過后,允許無線接入終端接入;該系統(tǒng)包括無線路由器和至少一個(gè)無線接入終端,無線接入終端用于向無線路由器發(fā)送待驗(yàn)證信息,無線路由器用于對(duì)無線接入終端發(fā)送的待驗(yàn)證信息進(jìn)行驗(yàn)證,并在驗(yàn)證通過后,允許無線接入終端接入。本發(fā)明通過以上技術(shù)方案,解決無線網(wǎng)絡(luò)的安全問題。
文檔編號(hào)H04W12/06GK103079200SQ201110329209
公開日2013年5月1日 申請(qǐng)日期2011年10月26日 優(yōu)先權(quán)日2011年10月26日
發(fā)明者艾俊, 付月朋, 王正鵬 申請(qǐng)人:國(guó)民技術(shù)股份有限公司