认证方法、系统、认证服务器和终端设备的制作方法

文档序号:7750501阅读:124来源:国知局
专利名称:认证方法、系统、认证服务器和终端设备的制作方法
技术领域
本发明实施例涉及通信技术领域,特别涉及一种认证方法、系统、认证服务器和终 端设备。
背景技术
在无线局域网的接入认证领域,通常通过数字证书对接入局域网的客户端进行认 证。需要接入无线局域网的用户会通过终端设备预先向认证服务器申请获得数字证书,该 数字证书包括用户基本信息、公钥信息、权威机构签发的数字签名和证书有效期等。该数字 证书实现了用户基本信息和公钥信息的绑定,并且还包括了权威机构签发的数字签名。当终端设备需要接入无线局域网时,会通过预先获得的数字证书与认证服务器完 成证书鉴别流程。认证服务器对终端设备上报的数字证书中的数字签名进行校验,若校验 成功则通知该终端设备证书鉴别成功。终端在接收到证书鉴别成功的通知后,可接入无线 局域网并访问网络资源。但是,由于数字证书是一个可以存储和复制的文件,因此在实际应用中若非法用 户通过获取存储有数字证书的移动存储器或者通过网络病毒攻击等手段非法获得数字证 书,则非法用户就可以通过获得的数字证书冒充合法用户通过认证服务器的认证,从而降 低了网络认证的安全性;并且为了保证访问网络的安全性而规定该合法用户只能使用指定 的终端设备时,该合法用户也可以通过获得的数字证书在该指定的终端设备之外的其它设 备上通过认证服务器的认证并访问网络资源,这也会导致降低网络认证的安全性。

发明内容
本发明提供一种认证方法、系统、认证服务器和终端设备,用以提高网络认证的安 全性。本发明实施例提供一种认证方法,包括通过无线接入点(Access Point,简称AP)向终端设备发送第一身份摘要信息请 求;接收所述终端设备通过所述无线接入点返回的第一身份摘要信息响应,所述第一 身份摘要信息响应包括第一身份摘要信息和初始随机数值,所述第一身份摘要信息是所述 终端设备根据终端设备信息、用户私有信息和初始随机数值生成的;根据所述初始随机数值和从所述终端设备预先获取的终端设备信息和用户私有 信息,生成第一身份摘要验证信息;对所述第一身份摘要信息和所述第一身份摘要验证信息进行比较,得出认证结果 并向所述无线接入点返回所述认证结果。本发明实施例提供一种认证服务器,包括第一发送模块,用于通过无线接入点向终端设备发送第一身份摘要信息请求;第一接收模块,用于接收所述终端设备通过所述无线接入点返回的第一身份摘要信息响应,所述第一身份摘要信息响应包括第一身份摘要信息和初始随机数值,所述第一 身份摘要信息是所述终端设备根据终端设备信息、用户私有信息和初始随机数值生成的;第一生成模块,用于根据所述初始随机数值和从所述终端设备预先获取的终端设 备信息和用户私有信息,生成第一身份摘要验证信息;第一比较模块,用于对所述第一身份摘要信息和所述第一身份摘要验证信息进行 比较,得出认证结果并向所述无线接入点返回所述认证结果。本发明实施例提供一种终端设备,包括第二接收模块,用于接收认证服务器通过无线接入点发送的第一身份摘要信息请 求;第五生成模块,用于根据终端设备信息、用户私有信息和初始随机数值,生成第一 身份摘要信息;第二发送模块,用于通过所述无线接入点向所述认证服务器返回第一身份摘要信 息响应,所述第一身份摘要信息响应包括所述第一身份摘要信息和所述初始随机数值,以 供所述认证服务器将根据所述初始随机数值和从所述终端设备预先获取的终端设备信息 和用户私有信息,生成第一身份摘要验证信息。对所述第一身份摘要信息和所述第一身份 摘要验证信息进行比较,得出认证结果并向所述无线接入点返回所述认证结果。本发明实施例提供一种认证系统,上述终端设备、无线接入点和上述认证服务器。本实施例提供的认证方法、系统、认证服务器和终端设备,认证服务器接收终端设 备通过无线接入点返回的第一身份摘要信息响应,该第一身份摘要信息响应包括第一身份 摘要信息和初始随机数值,根据初始随机数值和从终端设备预先获取的终端设备信息和用 户私有信息,生成第一身份摘要验证信息,对第一身份摘要信息和第一身份摘要验证信息 进行比较,并向无线接入点返回认证结果。本发明实施例提供的方法中,由于第一身份摘要 信息和第一身份摘要验证信息均是根据初始随机数值、终端设备信息和用户私有信息生成 的,因此采用第一身份摘要信息和第一身份摘要验证信息进行认证,可有效避免非法用户 通过获得的数字证书冒充合法用户通过认证服务器的认证,以及避免合法用户通过获得的 数字证书在指定的终端设备之外的其它设备上通过认证服务器的认证,从而提高了网络认 证的安全性。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根 据这些附图获得其他的附图。图1为本发明实施例一提供的一种认证方法的流程图;图2为本发明实施例二提供的一种认证方法的流程图;图3为本发明实施例三提供的一种认证方法的流程图;图4为本发明实施例四提供的一种认证服务器的结构示意图;图5为本发明实施例五提供的一种认证服务器的结构示意图;图6为本发明实施例六提供的一种终端设备的结构示意图7为本发明实施例七提供的一种认证系统的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明实施例一提供的一种认证方法的流程图,如图1所示,该方法包括步骤101、通过无线接入点向终端设备发送第一身份摘要信息请求。本实施例中各步骤可以由认证服务器执行。认证服务器将第一身份摘要信息请求 发送给无线接入点,由无线接入点将该第一身份摘要信息透传给该终端设备。步骤102、接收终端设备通过无线接入点返回的第一身份摘要信息响应,所述第一 身份摘要信息响应包括第一身份摘要信息和初始随机数值,第一身份摘要信息是该终端设 备根据终端设备信息、用户私有信息和初始随机数值生成的。本实施例中,终端设备在接收到无线接入点发送的第一身份摘要信息后,向无线 接入点返回第一身份摘要信息响应,并由无线接入点将该第一身份信息摘要响应透传给认 证服务器,以使认证服务器接收到该第一身份信息摘要响应。终端设备返回的第一身份摘要信息是该终端设备根据终端设备信息、用户私有 信息和初始随机数值生成的。其中,终端设备信息用于标识该终端设备,例如终端设备 可以为手机或者计算机;若终端设备为手机,该终端设备信息可以为国际移动用户识别码 (international mobile subscriberidentity,以下简称IMSI)或者国际移动设备身份码 (International MobileEquipment Identity,以下简称IMEI)等;若终端设备为计算机, 该终端设备信息可以为硬盘序列号、CPU ID或者主板ID等。用户私有信息可以为用户输入 的密码或者用户的家属姓名等,用户私有信息可用于标识使用该终端设备的用户的身份, 因此该用户私有信息仅为使用该终端设备的用户才能掌握的信息。初始随机数值可以是固 定长度的随机数,例如该初始随机数值可以为32位的随机数。具体地,终端设备可以根 据摘要算法对终端设备信息、用户私有信息和初始随机数值进行计算处理,生成第一身份 摘要信息。其中,摘要算法可以为哈希(HASH)算法,例如该HASH算法可以为消息摘要算 法第五版(Message Digest Algorithm 5,以下简称md5)算法或者安全哈希算法(Secure Hash Algorithm 1,简称shal)算法等。步骤103、根据该初始随机数值和从该终端设备预先获取的终端设备信息和用户 私有信息,生成第一身份摘要验证信息。本实施例中,认证服务器可从终端设备预先获取终端设备信息和用户私有信息。 则本步骤中,认证服务器可根据摘要算法对终端设备信息、用户私有信息和初始随机数值 进行计算处理,生成第一身份摘要验证信息。其中,摘要算法可以为HASH算法,例如该 HASH算法可以为md5算法或者shal算法等。步骤104、对该第一身份摘要信息和该第一身份摘要验证信息进行比较,得出认证 结果并向该无线接入点返回该认证结果。具体地,认证结果可以包括认证成功消息或者认证失败消息。则本步骤包括认证
6服务器比较该第一身份摘要信息和该第一身份摘要验证信息是否相同,若第一身份摘要信 息和第一身份摘要验证信息相同,则认证服务器得出认证成功消息并向无线接入点返回该 认证成功消息;若第一身份摘要信息和第一身份摘要验证信息不相同,则认证服务器得出 认证失败消息并向无线接入点返回该认证失败消息。本发明实施例中的认证方法可应用于无线局域网鉴别和保密基础结构(Wireless LAN Authentication and Privacy Infrastructure, L^ITM^ :WAPI)十办i义、
网的IEEE802. lli的无线网络安全协议、或者有线局域网的基于IEEE802. lx协议框架和数 字证书的认证协议。本实施例提供的认证方法,接收终端设备通过无线接入点返回的第一身份摘要 信息响应,该第一身份摘要信息响应包括第一身份摘要信息和初始随机数值,根据初始随 机数值和从终端设备预先获取的终端设备信息和用户私有信息,生成第一身份摘要验证信 息,对第一身份摘要信息和第一身份摘要验证信息进行比较,得出并向无线接入点返回认 证结果。本实施例提供的方法中,由于第一身份摘要信息和第一身份摘要验证信息均是根 据初始随机数值、终端设备信息和用户私有信息生成的,因此采用第一身份摘要信息和第 一身份摘要验证信息进行认证,可有效避免非法用户通过获得的数字证书冒充合法用户通 过认证服务器的认证,以及避免合法用户通过获得的数字证书在指定的终端设备之外的其 它设备上通过认证服务器的认证,从而提高了网络认证的安全性。图2为本发明实施例二提供的一种认证方法的流程图,如图2所示,该方法包括步骤201、终端设备向无线接入点发送接入请求,该接入请求包括数字证书,该数 字证书包括第二身份摘要信息和公钥信息。本实施例中,数字证书还包括用户基本信息、数字签名和证书有效期等信息,在此 不一一列举。本实施例中,数字证书为终端设备预先向认证服务器请求而获得的。具体地,终 端设备向认证服务器发送证书申请请求,认证服务器根据从终端设备获取的用户基本信 息、终端设备信息、用户私有信息和公钥信息生成该第二身份摘要信息,认证服务器根据第 二身份摘要信息和公钥信息生成数字证书,并向终端设备返回数字证书,该数字证书包括 第二身份摘要信息和公钥信息。其中,用户基本信息可以包括用户名、昵称、性别、年龄、身 份号码等基本信息;公钥信息为终端设备向认证服务器请求数字证书时发送给认证服务器 的;对终端设备信息和用户私有信息的描述可参见实施例一中的描述。本实施例中,当终端设备想要接入无线网络并访问网络资源时,需要向无线接入 点发送接入请求。步骤202、无线接入点向认证服务器发送证书鉴别请求,该证书鉴别请求包括该数 字证书。步骤203、认证服务器根据从数字证书中提取的公钥信息和预先获取的用户基本 信息、终端设备信息和用户私有信息,生成第二身份摘要验证信息。实际应用中,认证服务器可从不同的终端设备预先获取不同的用户基本信息、终 端设备信息和用户私有信息,在获取用户基本信息、终端设备信息和用户私有信息后会将 获取的用户基本信息、终端设备信息和用户私有信息保存在认证服务器本地的数据库中, 并且为方便查询认证服务器在保存上述用户基本信息、终端设备信息和用户私有信息的同时可建立该终端设备的网卡的MAC地址与用户基本信息、终端设备信息和用户私有信息的 对应关系。其中,MAC地址可以携带在终端设备向无线接入点发送的接入请求和无线接入点 向认证服务器发送的证书鉴别请求中。则本步骤中,当认证服务器接收到证书鉴别请求时, 可从证书鉴别请求中提取出MAC地址,通过该MAC地址从本地的数据库中查询出与该MAC 地址对应的预先获取的用户基本信息、终端设备信息和用户私有信息。本步骤中,认证服务器在终端设备请求数字证书的过程中可预先从终端设备获取 用户基本信息、终端设备信息和用户私有信息,并在接收到证书鉴别请求后,从证书鉴别请 求包括的数字证书中提取公钥信息,以根据该公钥信息、查询出的预先获取的用户基本信 息、终端设备信息和用户私有信息生成第二身份摘要验证信息。具体地,认证服务器可根据 摘要算法对公钥信息、用户基本信息、终端设备信息和用户私有信息进行计算处理,生成第 二身份摘要验证信息。其中,摘要算法可以为HASH算法,例如该HASH算法可以为md5算 法或者shal算法等。步骤204、认证服务器比较该第二身份摘要验证信息和从数字证书中提取的第二 身份摘要信息是否相同,如果是则执行步骤205 ;如果否则执行步骤213。本步骤中,认证服务器从证书鉴别请求包括的数字证书中提取第二身份摘要信 息,并比较步骤203中生成的第二身份摘要验证信息与提取出的第二身份摘要信息是否相 同。步骤205、认证服务器向无线接入点发送第一身份摘要信息请求。本步骤中,该第一身份摘要信息请求主要用于向终端设备请求第一身份摘要信 肩、o步骤206、无线接入点将第一身份摘要信息请求发送给终端设备。步骤207、终端设备根据终端设备信息、用户私有信息和初始随机数值,生成第一 身份摘要信息。本实施例中,终端设备在接收到第一身份摘要信息请求后,根据终端设备信息、用 户私有信息和初始随机数值,生成第一身份摘要信息。其中,终端设备信息可以由终端设备 在接收到第一身份摘要信息请求后实时获取,用户私有信息可以由终端设备在接收到第一 身份摘要信息请求后要求用户输入的,初始随机数值可以由终端设备在接收到第一身份摘 要信息请求后实时生成。步骤208、终端设备向无线接入点返回第一身份摘要信息响应,该第一身份摘要信 息响应包括第一身份摘要信息和初始随机数值。步骤209、无线接入点将该第一身份摘要信息响应发送给认证服务器。步骤210、认证服务器根据预先获取的终端设备信息和用户私有信息以及第一身 份摘要信息响应中包括的初始随机数值,生成第一身份摘要验证信息。本实施例中,终端设备向无线接入点返回的第一身份摘要信息响应中以及无线接 入点向认证服务器发送的第一身份摘要信息响应携带有MAC地址。则本步骤中,当认证服 务器接收到第一身份摘要信息响应时,可从第一身份摘要信息响应中提取出MAC地址,通 过该MAC地址从本地的数据库中查询出与该MAC地址对应的预先获取的终端设备信息和用 户私有信息。本步骤中,认证服务器在接收到第一身份摘要信息响应后,从第一身份摘要信 息响应中提取初始随机数值,并根据查询出的预先获取的终端设备信息、用户私有信息和提取的初始随机数值生成第一身份摘要验证信息。具体地,认证服务器可根据摘要算法对 终端设备信息、用户私有信息和初始随机数值进行计算处理,生成第一身份摘要验证信息。 其中,摘要算法可以为HASH算法,例如该HASH算法可以为md5算法或者shal算法等。步骤211、认证服务器比较第一身份摘要验证信息和第一身份摘要信息响应中包 括的第一身份摘要信息是否相同,如果是则执行步骤212、如果否则执行步骤213。本步骤中,认证服务器从第一身份摘要信息响应中提取第一身份摘要信息,并比 较步骤210中生成的第一身份摘要验证信息与提取出的第一身份摘要信息是相同。步骤212、认证服务器得出认证成功消息并向无线接入点返回该认证成功消息。步骤213、认证服务器得出认证失败消息并向无线接入点返回该认证失败消息。本实施例提供的认证方法中,认证服务器采用第一身份摘要信息和第一身份摘要 验证信息进行认证,由于第一身份摘要信息和第一身份摘要验证信息均是根据初始随机数 值、终端设备信息和用户私有信息生成的,因此可有效避免非法用户就通过获得的数字证 书冒充合法用户通过认证服务器的认证,以及避免合法用户通过获得的数字证书在指定的 终端设备之外的其它设备上通过认证服务器的认证,从而提高了网络认证的安全性。进一 步地,本实施例中,认证服务器还采用第二身份摘要信息和第二身份摘要验证信息进行认 证,由于第二身份摘要信息和第二身份摘要验证信息均是根据用户基本信息、终端设备信 息、用户私有信息和公钥信息生成的,因此通过第二身份摘要信息和第二身份摘要验证信 息可以对数字证书的真实性和合法性进行有效的校验,从而进一步地提高网络认证的安全 性。图3为本发明实施例三提供的一种认证方法的流程图,如图3所示,该方法包括步骤301、终端设备向认证服务器发送证书申请请求,该证书申请请求包括公钥信 肩、o本实施例中,终端设备会生成密钥对,该密钥对包括公钥信息和私钥信息,则终端 设备在向认证服务器发送证书申请请求时,可在数字申请请求携带公钥信息。步骤302、认证服务器从终端设备获取用户基本信息、终端设备信息和用户私有信 肩、o本步骤具体可以包括步骤3021、认证服务器向终端设备发送用户基本信息请求,并接收终端设备返回 的用户基本信息;步骤3022、认证服务器向终端设备发送终端设备信息请求,并接收终端设备返回 的终端设备信息;步骤3023、认证服务器向终端设备发送用户私有信息请求,并接收终端设备返回 的用户私有信息。上述步骤3021、步骤3022和步骤3033的执行顺序可根据实际需要进行变更。本实施例中,认证服务器在获取用户基本信息、终端设备信息和用户私有信息的 过程中,若认证服务器未获取到用户基本信息、终端设备信息和用户私有信息中任一信息, 则本实施例流程结束。步骤303、认证服务器检测该用户基本信息、终端设备信息和用户私有信息是否合 法,如果是则执行步骤304,如果否则本实施例流程结束。
具体地,认证服务器检测用户基本信息、终端设备信息和用户私有信息的格式是 否符合规定,以及用户基本信息、终端设备信息和用户私有信息的具体内容是否完备等。步骤304、认证服务器根据用户基本信息、终端设备信息、用户私有信息和公钥信 息,生成该第二身份摘要信息。本实施例中,公钥信息是终端设备发送的证书申请请求中包括的。具体地,认证服务器可根据摘要算法对公钥信息、用户基本信息、终端设备信息和 用户私有信息进行计算处理,生成第二身份摘要验证信息。其中,摘要算法可以为HASH算 法,例如该HASH算法可以为md5算法或者shal算法等。步骤305、认证服务器根据该第二身份摘要信息和该公钥信息生成数字证书,并向 终端设备返回数字证书,该数字证书包括第二身份摘要信息和公钥信息。本实施例中,生成的数字证书还包括用户基本信息、数字签名和证书有效期等信 息,在此不一一列举。步骤306、终端设备向无线接入点发送接入请求,该接入请求包括该数字证书。步骤307、无线接入点向认证服务器发送证书鉴别请求,该证书鉴别请求包括该数 字证书。步骤308、认证服务器对该数字证书中包括的数字签名进行校验,若校验成功则执 行步骤309,若校验失败则执行步骤320。本实施例中,生成的数字证书中包括数字签名。认证服务器在接收到无线接入点 发送的证书鉴别请求后,对证书鉴别请求包括的数字证书的数字签名进行校验。步骤309、认证服务器向无线接入点返回证书鉴别响应。步骤310、认证服务器根据从数字证书中提取的公钥信息和获取的用户基本信息、 终端设备信息和用户私有信息,生成第二身份摘要验证信息。具体地,认证服务器可根据摘要算法对公钥信息、用户基本信息、终端设备信息和 用户私有信息进行计算处理,生成第二身份摘要验证信息。其中,摘要算法可以为HASH算 法,例如该HASH算法可以为md5算法或者shal算法等。步骤311、认证服务器比较该第二身份摘要验证信息和从数字证书中提取的第二 身份摘要信息是否相同,如果是则执行步骤312 ;如果否则执行步骤320。步骤312、认证服务器向无线接入点发送第一身份摘要信息请求。本步骤中,该第一身份摘要信息请求主要用于向终端设备请求第一身份摘要信 肩、o步骤313、无线接入点将第一身份摘要信息请求发送给终端设备。步骤314、终端设备根据终端设备信息、用户私有信息和初始随机数值,生成第一 身份摘要信息。本实施例中,终端设备在接收到第一身份摘要信息请求后,根据终端设备信息、用 户私有信息和初始随机数值,生成第一身份摘要信息。其中,终端设备信息可以由终端设备 在接收到第一身份摘要信息请求后实时获取,用户私有信息可以由终端设备在接收到第一 身份摘要信息请求后要求用户输入的,初始随机数值可以由终端设备在接收到第一身份摘 要信息请求后实时生成。步骤315、终端设备向无线接入点返回第一身份摘要信息响应,该第一身份摘要信息响应包括第一身份摘要信息和初始随机数值。步骤316、无线接入点将该第一身份摘要信息响应发送给认证服务器。步骤317、认证服务器根据预先获取的终端设备信息和用户私有信息以及第一身 份摘要信息响应中包括的初始随机数值,生成第一身份摘要验证信息。本步骤中,认证服务器在接收到第一身份摘要信息响应后,从第一身份摘要信息 响应中提取初始随机数值,并根据终端设备信息、用户私有信息和提取的初始随机数值生 成第一身份摘要验证信息。具体地,认证服务器可根据摘要算法对终端设备信息、用户私 有信息和初始随机数值进行计算处理,生成第一身份摘要验证信息。其中,摘要算法可以为 HASH算法,例如该HASH算法可以为md5算法或者shal算法等。步骤318、认证服务器比较第一身份摘要验证信息和第一身份摘要信息响应中包 括的第一身份摘要信息是否相同,如果是则执行步骤319、如果否则执行步骤320。本步骤中,认证服务器从第一身份摘要信息响应中提取第一身份摘要信息,并比 较步骤317中生成的第一身份摘要验证信息与提取出的第一身份摘要信息是相同。步骤319、认证服务器得出认证成功消息并向无线接入点返回该认证成功消息。步骤320、认证服务器得出认证失败消息并向无线接入点返回该认证失败消息。本实施例提供的认证方法中,认证服务器采用第一身份摘要信息和第一身份摘要 验证信息进行认证,由于第一身份摘要信息和第一身份摘要验证信息均是根据初始随机数 值、终端设备信息和用户私有信息生成的,因此可有效避免非法用户就通过获得的数字证 书冒充合法用户通过认证服务器的认证,以及避免合法用户通过获得的数字证书在指定的 终端设备之外的其它设备上通过认证服务器的认证,从而提高了网络认证的安全性。进一 步地,本实施例中,认证服务器还采用第二身份摘要信息和第二身份摘要验证信息进行认 证,由于第二身份摘要信息和第二身份摘要验证信息均是根据用户基本信息、终端设备信 息、用户私有信息和公钥信息生成的,因此通过第二身份摘要信息和第二身份摘要验证信 息可以对数字证书的真实性和合法性进行有效的校验,从而进一步地提高网络认证的安全 性。图4为本发明实施例四提供的一种认证服务器的结构示意图,如图4所示,该认证 服务器包括第一发送模块11、第一接收模块12、第一生成模块13和第一比较模块14。第一发送模块11用于通过无线接入点向终端设备发送第一身份摘要信息请求。第一接收模块12用于接收所述终端设备通过所述无线接入点返回的第一身份 摘要信息响应,所述第一身份摘要信息响应包括第一身份摘要信息和初始随机数值,所述 第一身份摘要信息是所述终端设备根据终端设备信息、用户私有信息和初始随机数值生成 的。第一生成模块13用于根据所述初始随机数值和从所述终端设备预先获取的终端 设备信息和用户私有信息,生成第一身份摘要验证信息。第一比较模块14用于对所述第一身份摘要信息和所述第一身份摘要验证信息进 行比较,得出认证结果并将该认证结果输出给第一发送模块11,由第一发送模块11向所述 无线接入点返回该认证结果。本实施例提供的认证服务器,接收终端设备通过无线接入点返回的第一身份摘要 信息响应,该第一身份摘要信息响应包括第一身份摘要信息和初始随机数值,根据初始随机数值和从终端设备预先获取的终端设备信息和用户私有信息,生成第一身份摘要验证信 息,对第一身份摘要信息和第一身份摘要验证信息进行比较,并向无线接入点返回认证结 果。本实施例提供的认证服务器,由于第一身份摘要信息和第一身份摘要验证信息均是根 据初始随机数值、终端设备信息和用户私有信息生成的,因此采用第一身份摘要信息和第 一身份摘要验证信息进行认证,可有效避免非法用户通过获得的数字证书冒充合法用户通 过认证服务器的认证,以及避免合法用户通过获得的数字证书在指定的终端设备之外的其 它设备上通过认证服务器的认证,从而提高了网络认证的安全性。图5为本发明实施例五提供的一种认证服务器的结构示意图,如图5所示,该认证 服务器在上述实施例四的基础上还包括第二生成模块15和第二比较模块16。第一接收模块12还用于接收所述无线接入点发送的证书鉴别请求,所述证书鉴 别请求包括数字证书,所述数字证书为无线接入点接收到的所述终端设备发送的接入请求 中包括的,所述数字证书包括第二身份摘要信息和公钥信息;第二生成模块15用于根据从所述数字证书中提取的公钥信息和预先获取的用户 基本信息、终端设备信息和用户私有信息,生成第二身份摘要验证信息;第二比较模块16用于比较所述第二身份摘要验证信息和从所述数字证书中提取 的所述第二身份摘要信息是否相同,并将比较出所述第二身份摘要信息和所述第二身份摘 要验证信息相同的比较结果输出给所述第一发送模块11,以触发第一发送模块11执行通 过无线接入点向终端设备发送第一身份摘要信息请求。进一步地,本实施例中的认证服务器还包括获取模块17、第三生成模块18和第 四生成模块19。第一接收模块12还用于接收所述终端设备发送的证书申请请求,所述证书申请 请求包括公钥信息;获取模块17用于从所述终端设备获取所述用户基本信息、所述终端设备信息和 所述用户私有信息;第三生成模块18用于根据所述用户基本信息、所述终端设备信息、所述用户私有 信息和所述公钥信息,生成所述第二身份摘要信息;第四生成模块19用于根据所述第二身份摘要信息和所述公钥信息生成所述数字 证书;第一发送模块11还用于向所述终端设备返回所述数字证书。进一步地,本实施例中的认证服务器还可以包括检测模块20。检测模块20用于 检测获取模块17获取的所述用户基本信息、所述终端设备信息和所述用户私有信息是否 合法,并将检测出的所述用户基本信息、所述终端设备信息和所述用户私有信息合法的判 断结果输出给所述第三生成模块18,以触发第三生成模块18执行根据所述用户基本信息、 所述终端设备信息、所述用户私有信息和所述公钥信息,生成所述第二身份摘要信息。本实施例提供的认证服务器,采用第一身份摘要信息和第一身份摘要验证信息进 行认证,由于第一身份摘要信息和第一身份摘要验证信息均是根据初始随机数值、终端设 备信息和用户私有信息生成的,因此可有效避免非法用户就通过获得的数字证书冒充合法 用户通过认证服务器的认证,以及避免合法用户通过获得的数字证书在指定的终端设备之 外的其它设备上通过认证服务器的认证,从而提高了网络认证的安全性。进一步地,本实施
12例中,认证服务器还采用第二身份摘要信息和第二身份摘要验证信息进行认证,由于第二 身份摘要信息和第二身份摘要验证信息均是根据用户基本信息、终端设备信息、用户私有 信息和公钥信息生成的,因此通过第二身份摘要信息和第二身份摘要验证信息可以对数字 证书的真实性和合法性进行有效的校验,从而进一步地提高网络认证的安全性。图6为本发明实施例六提供的一种终端设备的结构示意图,如图6所示,该终端设 备包括第二接收模块21、第五生成模块22和第二发送模块23。第二接收模块21用于接收认证服务器通过无线接入点发送的第一身份摘要信息 请求;第五生成模块22用于根据终端设备信息、用户私有信息和初始随机数值,生成第 一身份摘要信息;第二发送模块23用于通过所述无线接入点向所述认证服务器返回第一身份摘要 信息响应,所述第一身份摘要信息响应包括所述第一身份摘要信息和所述初始随机数值, 以供所述认证服务器将根据所述初始随机数值和从所述终端设备预先获取的终端设备信 息和用户私有信息,生成第一身份摘要验证信息。对所述第一身份摘要信息和所述第一身 份摘要验证信息进行比较,得出认证结果并向所述无线接入点返回该认证结果。本实施例提供的终端设备,生成并通过无线接入点向认证服务器返回第一身份摘 要信息和所述初始随机数值,以供认证服务器根据该第一身份摘要信息和生成的第一身份 摘要验证信息进行认证,由于第一身份摘要信息和第一身份摘要验证信息均是根据初始随 机数值、终端设备信息和用户私有信息生成的,因此采用第一身份摘要信息和第一身份摘 要验证信息进行认证,可有效避免非法用户通过获得的数字证书冒充合法用户通过认证服 务器的认证,以及避免合法用户通过获得的数字证书在指定的终端设备之外的其它设备上 通过认证服务器的认证,从而提高了网络认证的安全性。图7为本发明实施例七提供的一种认证系统的结构示意图,如图7所示,该认证系 统包括终端设备1、无线接入点2和认证服务器3。认证服务器3,用于通过无线接入点2向终端设备1发送第一身份摘要信息请求; 接收终端设备1通过无线接入点2返回的第一身份摘要信息响应,第一身份摘要信息响应 包括第一身份摘要信息和初始随机数值,该第一身份摘要信息是终端设备1根据终端设备 信息、用户私有信息和初始随机数值生成的;根据初始随机数值和从终端设备1预先获取 的终端设备信息和用户私有信息,生成第一身份摘要验证信息;对第一身份摘要信息和所 述第一身份摘要验证信息进行比较,得出认证结果并向无线接入点2返回该认证结果。本实施例中,终端设备1可采用实施例六所述的终端设备,认证服务器3可采用实 施例四或者实施例五所述的认证服务器,此处不再赘述本实施例提供的认证系统,认证服务器接收终端设备通过无线接入点返回的第一 身份摘要信息响应,该第一身份摘要信息响应包括第一身份摘要信息和初始随机数值,根 据初始随机数值和从终端设备预先获取的终端设备信息和用户私有信息,生成第一身份摘 要验证信息,对第一身份摘要信息和第一身份摘要验证信息进行比较,得出并向无线接入 点返回认证结果。本实施例提供的系统中,由于第一身份摘要信息和第一身份摘要验证信 息均是根据初始随机数值、终端设备信息和用户私有信息生成的,因此认证服务器采用第 一身份摘要信息和第一身份摘要验证信息进行认证,可有效避免非法用户通过获得的数字证书冒充合法用户通过认证服务器的认证,以及避免合法用户通过获得的数字证书在指定 的终端设备之外的其它设备上通过认证服务器的认证,从而提高了网络认证的安全性。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种认证方法,其特征在于,包括通过无线接入点向终端设备发送第一身份摘要信息请求;接收所述终端设备通过所述无线接入点返回的第一身份摘要信息响应,所述第一身份摘要信息响应包括第一身份摘要信息和初始随机数值,所述第一身份摘要信息是所述终端设备根据终端设备信息、用户私有信息和初始随机数值生成的;根据所述初始随机数值和从所述终端设备预先获取的终端设备信息和用户私有信息,生成第一身份摘要验证信息;对所述第一身份摘要信息和所述第一身份摘要验证信息进行比较,得出认证结果并向所述无线接入点返回所述认证结果。
2.根据权利要求1所述的方法,其特征在于,所述通过无线接入点向终端设备发送第 一身份摘要信息请求之前包括接收所述无线接入点发送的证书鉴别请求,所述证书鉴别请求包括数字证书,所述数 字证书为所述无线接入点接收到的所述终端设备发送的接入请求中包括的,所述数字证书 包括第二身份摘要信息和公钥信息,所述第二身份摘要信息是根据所述用户基本信息、所 述终端设备信息、所述用户私有信息和所述公钥信息生成的;根据从所述数字证书中提取的公钥信息和预先获取的用户基本信息、终端设备信息和 用户私有信息,生成第二身份摘要验证信息;比较所述第二身份摘要验证信息和从所述数字证书中提取的第二身份摘要信息是否 相同,若相同则执行所述通过无线接入点向终端设备发送第一身份摘要信息请求的步骤。
3.根据权利要求2所述的方法,其特征在于,所述接收所述无线接入点发送的证书鉴 别请求之前还包括接收所述终端设备发送的证书申请请求,所述证书申请请求包括公钥信息; 从所述终端设备获取所述用户基本信息、所述终端设备信息和所述用户私有信息; 根据所述用户基本信息、所述终端设备信息、所述用户私有信息和所述公钥信息,生成 所述第二身份摘要信息;根据所述第二身份摘要信息和所述公钥信息生成所述数字证书,并向所述终端设备返 回所述数字证书。
4.根据权利要求3所述的方法,其特征在于,所述根据所述用户基本信息、所述终端设 备信息、所述用户私有信息和所述公钥信息,生成所述第二身份摘要信息之前还包括检测所述用户基本信息、所述终端设备信息和所述用户私有信息是否合法,如果是则 执行所述根据所述第二身份摘要信息和所述公钥信息生成所述数字证书的步骤。
5.一种认证服务器,其特征在于,包括第一发送模块,用于通过无线接入点向终端设备发送第一身份摘要信息请求并向所述 无线接入点返回认证结果;第一接收模块,用于接收所述终端设备通过所述无线接入点返回的第一身份摘要信息 响应,所述第一身份摘要信息响应包括第一身份摘要信息和初始随机数值,所述第一身份 摘要信息是所述终端设备根据终端设备信息、用户私有信息和初始随机数值生成的;第一生成模块,用于根据所述初始随机数值和从所述终端设备预先获取的终端设备信 息和用户私有信息,生成第一身份摘要验证信息;第一比较模块,用于对所述第一身份摘要信息和所述第一身份摘要验证信息进行比 较,得出所述认证结果并将所述认证结果输出给所述第一发送模块。
6.根据权利要求5所述的认证服务器,其特征在于,还包括第二生成模块和第二比较 模块;所述第一接收模块还用于接收所述无线接入点发送的证书鉴别请求,所述证书鉴别请 求包括数字证书,所述数字证书为所述无线接入点接收到的所述终端设备发送的接入请求 中包括的,所述数字证书包括第二身份摘要信息和公钥信息;所述第二生成模块,用于根据从所述数字证书中提取的公钥信息和预先获取的用户基 本信息、终端设备信息和用户私有信息,生成第二身份摘要验证信息;所述第二比较模块,用于比较所述第二身份摘要验证信息和从所述数字证书中提取的 所述第二身份摘要信息是否相同,并将比较出所述第二身份摘要信息和所述第二身份摘要 验证信息相同的比较结果输出给所述第一发送模块。
7.根据权利要求6所述的认证服务器,其特征在于,还包括获取模块、第三生成模块 和第四生成模块;所述第一接收模块还用于接收所述终端设备发送的证书申请请求,所述证书申请请求 包括公钥信息;所述获取模块,用于从所述终端设备获取所述用户基本信息、所述终端设备信息和所 述用户私有信息;所述第三生成模块,用于根据所述用户基本信息、所述终端设备信息、所述用户私有信 息和所述公钥信息,生成所述第二身份摘要信息;所述第四生成模块,用于根据所述第二身份摘要信息和所述公钥信息生成所述数字证书;所述第一发送模块还用于向所述终端设备返回所述数字证书。
8.根据权利要求7所述的认证服务器,其特征在于,还包括检测模块,用于检测所述获取模块获取的所述用户基本信息、所述终端设备信息和所 述用户私有信息是否合法,并将判断出的所述用户基本信息、所述终端设备信息和所述用 户私有信息合法的判断结果输出给所述第三生成模块。
9.一种终端设备,其特征在于,包括第二接收模块,用于接收认证服务器通过无线接入点发送的第一身份摘要信息请求;第五生成模块,用于根据终端设备信息、用户私有信息和初始随机数值,生成第一身份 摘要信息;第二发送模块,用于通过所述无线接入点向所述认证服务器返回第一身份摘要信息响 应,所述第一身份摘要信息响应包括所述第一身份摘要信息和所述初始随机数值,以供所 述认证服务器将根据所述初始随机数值和从所述终端设备预先获取的终端设备信息和用 户私有信息,生成第一身份摘要验证信息。对所述第一身份摘要信息和所述第一身份摘要 验证信息进行比较,得出认证结果并向所述无线接入点返回所述认证结果。
10.一种认证系统,其特征在于,包括终端设备、无线接入点和认证服务器;所述终端设备采用上述权利要求9所述的终端设备;所述认证服务器采用上述权利要求5至8任一所述的认证服务器。
全文摘要
本发明公开了一种认证方法、系统、认证服务器和终端设备。该方法包括通过无线接入点向终端设备发送第一身份摘要信息请求;接收终端设备通过无线接入点返回的第一身份摘要信息响应,第一身份摘要信息响应包括第一身份摘要信息和初始随机数值,第一身份摘要信息是终端设备根据终端设备信息、用户私有信息和初始随机数值生成的;根据初始随机数值和从终端设备预先获取的终端设备信息和用户私有信息,生成第一身份摘要验证信息;对第一身份摘要信息和第一身份摘要验证信息进行比较,得出认证结果并向无线接入点返回该认证结果。本发明实施例的技术方案提高了网络认证的安全性。
文档编号H04W12/06GK101867929SQ20101018999
公开日2010年10月20日 申请日期2010年5月25日 优先权日2010年5月25日
发明者罗来财 申请人:北京星网锐捷网络技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1