一种基于cpk标识认证的无线网络接入认证的方法及装置的制造方法
一种基于cpk标识认证的无线网络接入认证的方法及装置的制造方法
【技术领域】
[0001]本发明实施例涉及无线通信技术接入认证领域,尤其涉及一种基于CPK标识认证的无线网络接入认证的方法及装置。
【背景技术】
[0002]随着无线通信的发展,无线相容认证(wireless fidelity,简称WiFi)技术越来越普遍,WiFi接入点接入密钥安全性也成为技术人员的研究课题。目前的WiFi无线系统存在明显的安全问题,WEP (Wired Equivalent Privacy)和 WPA(WiFi Protected Access)系统对密钥的加密强度很弱;而在WPA2(WPA的另一种标准)和WAPI (中国无线局域网安全强制性标准的一种协议)系统中,针对广大的个人和中小企业用户使用的是PSK(Pre-sharedKey,预共享密钥),也存在接入流程漏洞和接入密钥被破解的问题。
[0003]同时,现有采用WEP、WPA PSK和WPA2 PSK方式进行无线网络接入认证的情况下,所有的用户采用一样的密码,享受一样的访问权限,无法区分每一个用户的身份,而且一旦密码泄露,也会给网络提供者或合法用户的利益带来损害,这些不利囚素都制约了 WiFi网络在很多非公众场合的应用。
【发明内容】
[0004]本发明实施例提供一种基于CPK标识认证的无线网络接入认证的方法及装置,用以解决现有技术中存在的问题。
[0005]本发明实施例提供了一种无线网络接入认证的方法,包括:
[0006]无线用户设备端集成了 CPK Key,其将对无线用户设备自身特征码的CPK签名数据整合进入发送给无线控制器端的接入认证请求信息中;
[0007]无线控制器端对接收到的无线用户设备端的接入认证请求进行校验,首先判断此接入认证请求信息是否包含CPK签名数据,如果不包含则拒绝接入;如果包含,再判断此CPK签名数据中的特征码是否是无线控制器端已经授权的特征码,如果不是已经授权的特征码,则拒绝此无线用户设备接入网络,如果是则允许接入;
[0008]无线控制器端提供了方便灵活的“授权特征码表”的变更接口,包括通过PC超级系统网管软件增加授权的特征码或删减已授权的特征码。
[0009]本发明实施例还提供了一种无线用户设备端,包括:
[0010]CPK Key集成单元,完成与CPK Key的数据互通,实现用CPK Key的私钥对无线用户设备特征码的数据签名;
[0011]CPK标识认证接入请求单元,将用CPK私钥签名完成后的数据整合进入到发送给无线控制器端的网络接入认证流程中。
[0012]本发明实施例还提供了一种无线控制器端,包括:
[0013]CPK标识接收单元,接收各个无线用户设备端发送的网络接入认证请求信息,并判断接入认证请求信息中是否包含CPK签名数据;
[0014]CPK标识验证单元,验证接收到的CPK签名数据是否来自管理员授权的合法CPKKey ;
[0015]CPK标识管理单元,提供给超级系统管理员增加或者删减授权CPK标识的接口。
[0016]本发明实施例提供的无线网络接入认证的方法及装置,使得无线控制器端只接受具有合法CPK授权的无线用户设备端的接入请求,这样一来,用户就能以CPK Key作为接入网络的唯一依据,避免了所有用户都使用统一密码接入网络带来的安全隐患,而且也为将来以CPK标识来作为上网行为者的身份标识提供了基础。
【附图说明】
[0017]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明实施例提供的基于CPK标识认证的无线网络接入认证的无线用户设备端的工作流程示意图;
[0019]图2为标准WiFi在WPA-PSK认证加密模式下,无线用户设备端与无线控制器端的认证流程示意图;
[0020]图3为本发明实施例提供的基于CPK标识认证的无线网络接入认证的无线控制器端的工作流程示意图之一;
[0021]图4为本发明实施例提供的基于CPK标识认证的无线网络接入认证的无线控制器端的工作流程示意图之二;
[0022]图5为本发明实施例提供的基于CPK标识认证的无线网络接入认证的无线控制器端的工作流程示意图之三;
[0023]图6为加入CPK标识认证后的WiFi在WPA-PSK认证加密模式下,无线用户设备端与无线控制器端的认证流程示意图;
[0024]图7为本发明一个实施例提供的无线用户设备端的结构示意图;
[0025]图8为本发明一个实施例提供的无线控制器端的结构示意图。
【具体实施方式】
[0026]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0027]图1为本发明一个实施例提供的基于CPK标识认证的无线网络接入认证的无线用户设备端方法流程图,如图1所示,该方法包括:
[0028]在无线用户设备端集成CPK Key设备,这种CPK Key设备内置加密智能芯片,有一定的存储空间,可以存储用户的私钥,而且由于加密智能芯片的特殊工艺,任何方法都无法读取出芯片内部的用户私钥信息。
[0029]这种CPK Key能够以USB接口、SD卡接口或者SM卡接口等几种常见的硬件接口与现有的无线用户设备实现数据互通。
[0030]CPK密钥管理算法利用椭圆曲线密码理论,构造了公、私钥矩阵,以少量因素生成大量公、私钥对;以映射算法将公、私钥变量和用户标识绑定,解决了基于标识的密钥管理难题。
[0031 ] CPK密钥体制具有以下的特点:
[0032]特点一、密钥管理采用集中生产分发,分散使用保管的模式,实现了分散应用与集中控制的有机统一,具有可控制、易管理的优点,便于构建自上而下的信任体系,为实施宏观管理奠定了基础;
[0033]特点二、用公钥加密数据,用私钥来解密数据;
[0034]特点三、用私钥加密数据(数字签名),用公钥来验证数字签名。
[0035]无线用户设备端集成CPK Key后,用其私钥对无线用户设备的特征码进行数字签名,这些特征码包括但不限于物理MAC地址、组织唯一标识符(0UI)、CPK Key的标识号或者出厂设备序列号SN ;然后将签名后的数据随其接入认证请求信息发送给无线控制器端。
[0036]图2为目前标准WiFi的WPA-PSK认证流程,其在无线用户设备端分为三步,分别是探询请求、链路验证请求、关联请求;只要这三步成功,标准WiFi的用户设备就能够连接上无线控制器,实现上网功能。
[0037]图3为本发明一个实施例提供的基于CPK标识认证的无线网络接入认证的无线控制器端方法流程图,如图3所示,该方法包括:
[0038]步骤301,无线控制器端对接收到的无线用户设备端的接入认证请求进行校验,判断此认证请求信息中是否包含CPK签名数据,如果不包含,则拒绝其接入网络;如果包含,则解密得到无线用户设备特征码。
[0039]具体的,步骤301如图4所示,根据CPK体制“私钥签名,公钥验证”的特点,无线控制器端利用CPK公钥算法对接入认证请求中的CPK签名数据进行解密验证,如果能成功解密出无线用户设备特征码,说明此接入认证请求信息包含CPK签名数据,如果不能解密,则说明此接入认证请求信息不包含CPK签名数据,则拒绝接入网络。
[0040]步骤302,无线控制器端查询其“授权特征码表”中是否包含现接收并解密出的无线用户设备特征码,如果不包含,则拒绝其接入网络;如果包含,则允许其接入网络。
[0041]具体的,步骤302如图5所示,无线控制器端成功解密出无线用户设备特征码后,再去查询其“授权特征码表”中是否包含现接收并解密出的无线用户设备特征码,如果包含,则说明这个无线用户设备端是合法的,允许其接入网络,如果在“授权特征码表”中无法查询到现接收并解密出的无线用户设备特征码,则说明这个无线用户设备端是非法的或者 暂未授权的,则拒绝其接入网络。
[0042]无线控制器端的“授权特征码表”只允许具有超级权限的授权管理员访问并进行管理,一般的授权用户只有接入网络的权限,并无修改“授权特征码表”的权限。
[0043]本发明实施例提供的无线网络接入认证方法就类似在标准WiFi的WPA-PSK认证流程中,嵌入了 CPK数字签名认证流程,使其接入认证流程优化为四步,分别是探询请求、链路验证请求、CPK标识认证请求、关联请求,如图6所示;优化后的无线用户端设备只有成功的完成上述四步流程,才能接入网络,因此优化后的接入认证流程更加安全可信,也为以后的接入用户可管理可追溯做好铺垫。
[0044]此发明实施例提供的无线网络接入认证方法并不局限于对标准WiFi的WPA-PSK认证流程的优化,其他无线网络(如蓝牙、ZigBee等)的认证流程也可以按照此原理方式进行CPK标识认证强化。
[0045]本发明实施例提供的无线用户设备端,如图7所示,包括:
[0046]CPK Key集成单元701,通过常见的USB接口、SD卡接口或者SM卡接口实现与CPKKey的数据互通。
[0047]用CPK Key的私钥实现对无线用户设备特征码的数据签名,这些特征码包括但不限于物理MAC地址、组织唯一标识符(OUI)、CPK Key的标识号或者出厂设备序列号SN。
[0048]CPK标识认证接入请求单元702,将用CPK私钥签名完成后的数据整合进入到发送给无线控制器端的网络接入认证流程中。
[0049]示例性的,当CPK Key集成单元701集成了一个标识号为EA的CPK Key,那么CPK标识认证接入请求单元702就会用CPK私钥对标识号EA进行数据签名,并将签名后的数据整合进入到发送给无线控制器端的网络接入认证流程中。
[0050]本发明实施例提供的无线控制器端,如图8所示,包括:
[0051]CPK标识接收单元801,接收各个无线用户设备端发送的网络接入认证请求信息,并判断接入认证请求信息中是否包含CPK签名数据。根据CPK体制“私钥签名,公钥验证”的特点,CPK标识接收单元801利用CPK公钥对此签名数据进行解密验证,如果能成功解密出无线用户设备特征码,说明此接入认证请求信息包含CPK签名数据;如果不能解密,则说明此接入认证请求信息不包含CPK签名数据,则拒绝接入网络。
[0052]CPK标识验证单元802,验证接收到的CPK签名数据是否来自管理员授权的合法CPK Key。CPK标识接收单元801成功解密出无线用户设备特征码后,CPK标识验证单元802再去查询无线控制器端的“授权特征码表”中是否包含现接收并解密出的无线用户设备特征码,如有包含,则说明这个无线用户设备端是合法的,允许其接入网络;如果在“授权特征码表”中无法查询到现接收并解密出的无线用户设备特征码,则说明这个无线用户设备端是非法的或者暂未授权的,则拒绝其接入网络。
[0053]示例性的,如果CPK标识接收单元801接收到一个无线用户设备端发送的网络接入认证请求信息,并解密出其中含有EA的标识号,那么接下来CPK标识验证单元802就会判断标识号EA是否存在于“授权特征码表”中。如果“授权特征码表”不含有EA,则拒绝这个无线用户设备端的网络接入请求;如果含有,则允许其接入网络。
[0054]CPK标识管理单元803,提供给了超级系统管理员增加或者删减授权CPK标识的人机交互接口。
[0055]示例性的,当由于工作变动,持有标识号为EA的CPK Key的员工不再需要继续访问网络,那么超级系统管理员就可以通过CPK标识管理单元803提供的方便的人机交互接口从“授权特征码表”删除掉EA的标识号,相应的持有标识号为EA的CPK Key的员工也就无法再通过此无线控制器端访问网络。
[0056]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因为,本发明的保护范围应以所述权力要求的保护范围为准。
【主权项】
1.基于CPK标识认证的无线网络接入认证的方法,包含无线用户设备端和无线控制器端,其特征步骤包括: a.无线用户设备端集成了CPK Key,当其要求接入无线网络时,会将对无线用户设备自身特征码的CPK签名数据整合进入到发送给无线控制器端的接入认证请求信息中; b.无线控制器端具有CPK标识认证功能,能够对CPK签名数据进行验证,其在接收到无线设备端发送的接入认证请求信息后,首先判断此接入认证请求信息是否包含CPK签名数据,如果不包含则拒绝接入;如果包含,再判断此CPK签名数据中的特征码是否是无线控制器端已经授权的特征码,如果不是已经授权的特征码,则拒绝此无线用户设备接入网络,如果是则允许接入。2.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:上述中的CPK,就是组合公钥体制(Combined Public Key Cryptosystem,简称CPK),是在椭圆曲线密码(ECC)上,由组合矩阵和分割密钥序列构成,是一种先进的标识认证体制。3.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:包含无线用户设备端和无线控制器端,无需引入其他专门的认证服务设备,简化了认证系统的网络结构。4.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:步骤a中所述的无线用户设备端是指能够识别CPK Key,并能将CPK Key产生的签名数据整合到其发送的接入认证请求信息的无线用户设备。5.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:步骤a中所述的无线用户设备自身特征码包括但不限于物理MAC地址、组织唯一标识符(OUI)、CPK Key的标识号或者出厂设备序列号SN。6.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:步骤a中所述的CPK签名数据为依据CPK Key中的私钥对无线用户设备端特征码进行数字签名后的数据,由于CPK Key中的私钥理论上在任何情况下都无法被破解或者获取,故此数字签名后的数据具有极高的安全性和不可抵赖性。7.这种无线用户设备,其特征在于,包括: CPK Key集成单元,完成与CPK Key的数据互通,实现用CPK Key的私钥对无线用户设备特征码的数据签名; CPK标识认证请求单元,将用CPK私钥签名完成后的数据整合进入到发送给无线控制器端的网络接入认证流程中。8.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:步骤b中所述的无线控制器端是指集成了 CPK算法的,且能够解密CPK签名数据的无线接入控制装置;其授权特征码的增减都可以通过超级系统管理界面来方便地进行调整。9.这种无线控制器,其特征在于,包括: CPK标识接收单元,接收各个无线用户设备端发送的网络接入认证请求信息,并判断接入认证请求信息中是否包含CPK签名数据; CPK标识验证单元,验证接收到的CPK签名数据是否来自管理员授权的合法CPK Key所产生的签名数据; CPK标识管理单元,提供给超级系统管理员增加或者删减授权CPK标识的接口。10.此发明实施例适用于对现有无线网络的接入认证流程进行CPK标识认证优化,其适用范围包括但不局限于现有WiFi设备、蓝牙设备和Zigbee设备等无线设备的接入认证流程。
【专利摘要】本发明提供了一种基于CPK标识认证的无线网络接入认证的方法及装置,涉及无线通信和CPK标识认证领域。整个系统由无线控制器端和无线用户设备端两部分组成。该方法包括,无线用户设备端在集成CPK Key后,每次发送给无线控制器端的接入认证请求信息都包含CPK签名数据。无线控制器端在接收到无线用户设备发送的接入认证请求信息后,先判断请求信息中是否包含CPK签名数据,如果不包含,则拒绝此无线用户设备接入网络;如果包含,再判断此CPK签名数据中的特征码是否是无线控制器端已经授权的特征码,如果不是已经授权的特征码,则拒绝此无线用户设备接入网络,如果是则允许接入。本发明实施例用于安全可信、接入用户可管理的无线网络接入认证。
【IPC分类】H04W12/06
【公开号】CN104902473
【申请号】CN201410159313
【发明人】孟俊, 陈谦
【申请人】孟俊, 陈谦
【公开日】2015年9月9日
【申请日】2014年4月21日
【技术领域】
[0001]本发明实施例涉及无线通信技术接入认证领域,尤其涉及一种基于CPK标识认证的无线网络接入认证的方法及装置。
【背景技术】
[0002]随着无线通信的发展,无线相容认证(wireless fidelity,简称WiFi)技术越来越普遍,WiFi接入点接入密钥安全性也成为技术人员的研究课题。目前的WiFi无线系统存在明显的安全问题,WEP (Wired Equivalent Privacy)和 WPA(WiFi Protected Access)系统对密钥的加密强度很弱;而在WPA2(WPA的另一种标准)和WAPI (中国无线局域网安全强制性标准的一种协议)系统中,针对广大的个人和中小企业用户使用的是PSK(Pre-sharedKey,预共享密钥),也存在接入流程漏洞和接入密钥被破解的问题。
[0003]同时,现有采用WEP、WPA PSK和WPA2 PSK方式进行无线网络接入认证的情况下,所有的用户采用一样的密码,享受一样的访问权限,无法区分每一个用户的身份,而且一旦密码泄露,也会给网络提供者或合法用户的利益带来损害,这些不利囚素都制约了 WiFi网络在很多非公众场合的应用。
【发明内容】
[0004]本发明实施例提供一种基于CPK标识认证的无线网络接入认证的方法及装置,用以解决现有技术中存在的问题。
[0005]本发明实施例提供了一种无线网络接入认证的方法,包括:
[0006]无线用户设备端集成了 CPK Key,其将对无线用户设备自身特征码的CPK签名数据整合进入发送给无线控制器端的接入认证请求信息中;
[0007]无线控制器端对接收到的无线用户设备端的接入认证请求进行校验,首先判断此接入认证请求信息是否包含CPK签名数据,如果不包含则拒绝接入;如果包含,再判断此CPK签名数据中的特征码是否是无线控制器端已经授权的特征码,如果不是已经授权的特征码,则拒绝此无线用户设备接入网络,如果是则允许接入;
[0008]无线控制器端提供了方便灵活的“授权特征码表”的变更接口,包括通过PC超级系统网管软件增加授权的特征码或删减已授权的特征码。
[0009]本发明实施例还提供了一种无线用户设备端,包括:
[0010]CPK Key集成单元,完成与CPK Key的数据互通,实现用CPK Key的私钥对无线用户设备特征码的数据签名;
[0011]CPK标识认证接入请求单元,将用CPK私钥签名完成后的数据整合进入到发送给无线控制器端的网络接入认证流程中。
[0012]本发明实施例还提供了一种无线控制器端,包括:
[0013]CPK标识接收单元,接收各个无线用户设备端发送的网络接入认证请求信息,并判断接入认证请求信息中是否包含CPK签名数据;
[0014]CPK标识验证单元,验证接收到的CPK签名数据是否来自管理员授权的合法CPKKey ;
[0015]CPK标识管理单元,提供给超级系统管理员增加或者删减授权CPK标识的接口。
[0016]本发明实施例提供的无线网络接入认证的方法及装置,使得无线控制器端只接受具有合法CPK授权的无线用户设备端的接入请求,这样一来,用户就能以CPK Key作为接入网络的唯一依据,避免了所有用户都使用统一密码接入网络带来的安全隐患,而且也为将来以CPK标识来作为上网行为者的身份标识提供了基础。
【附图说明】
[0017]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明实施例提供的基于CPK标识认证的无线网络接入认证的无线用户设备端的工作流程示意图;
[0019]图2为标准WiFi在WPA-PSK认证加密模式下,无线用户设备端与无线控制器端的认证流程示意图;
[0020]图3为本发明实施例提供的基于CPK标识认证的无线网络接入认证的无线控制器端的工作流程示意图之一;
[0021]图4为本发明实施例提供的基于CPK标识认证的无线网络接入认证的无线控制器端的工作流程示意图之二;
[0022]图5为本发明实施例提供的基于CPK标识认证的无线网络接入认证的无线控制器端的工作流程示意图之三;
[0023]图6为加入CPK标识认证后的WiFi在WPA-PSK认证加密模式下,无线用户设备端与无线控制器端的认证流程示意图;
[0024]图7为本发明一个实施例提供的无线用户设备端的结构示意图;
[0025]图8为本发明一个实施例提供的无线控制器端的结构示意图。
【具体实施方式】
[0026]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0027]图1为本发明一个实施例提供的基于CPK标识认证的无线网络接入认证的无线用户设备端方法流程图,如图1所示,该方法包括:
[0028]在无线用户设备端集成CPK Key设备,这种CPK Key设备内置加密智能芯片,有一定的存储空间,可以存储用户的私钥,而且由于加密智能芯片的特殊工艺,任何方法都无法读取出芯片内部的用户私钥信息。
[0029]这种CPK Key能够以USB接口、SD卡接口或者SM卡接口等几种常见的硬件接口与现有的无线用户设备实现数据互通。
[0030]CPK密钥管理算法利用椭圆曲线密码理论,构造了公、私钥矩阵,以少量因素生成大量公、私钥对;以映射算法将公、私钥变量和用户标识绑定,解决了基于标识的密钥管理难题。
[0031 ] CPK密钥体制具有以下的特点:
[0032]特点一、密钥管理采用集中生产分发,分散使用保管的模式,实现了分散应用与集中控制的有机统一,具有可控制、易管理的优点,便于构建自上而下的信任体系,为实施宏观管理奠定了基础;
[0033]特点二、用公钥加密数据,用私钥来解密数据;
[0034]特点三、用私钥加密数据(数字签名),用公钥来验证数字签名。
[0035]无线用户设备端集成CPK Key后,用其私钥对无线用户设备的特征码进行数字签名,这些特征码包括但不限于物理MAC地址、组织唯一标识符(0UI)、CPK Key的标识号或者出厂设备序列号SN ;然后将签名后的数据随其接入认证请求信息发送给无线控制器端。
[0036]图2为目前标准WiFi的WPA-PSK认证流程,其在无线用户设备端分为三步,分别是探询请求、链路验证请求、关联请求;只要这三步成功,标准WiFi的用户设备就能够连接上无线控制器,实现上网功能。
[0037]图3为本发明一个实施例提供的基于CPK标识认证的无线网络接入认证的无线控制器端方法流程图,如图3所示,该方法包括:
[0038]步骤301,无线控制器端对接收到的无线用户设备端的接入认证请求进行校验,判断此认证请求信息中是否包含CPK签名数据,如果不包含,则拒绝其接入网络;如果包含,则解密得到无线用户设备特征码。
[0039]具体的,步骤301如图4所示,根据CPK体制“私钥签名,公钥验证”的特点,无线控制器端利用CPK公钥算法对接入认证请求中的CPK签名数据进行解密验证,如果能成功解密出无线用户设备特征码,说明此接入认证请求信息包含CPK签名数据,如果不能解密,则说明此接入认证请求信息不包含CPK签名数据,则拒绝接入网络。
[0040]步骤302,无线控制器端查询其“授权特征码表”中是否包含现接收并解密出的无线用户设备特征码,如果不包含,则拒绝其接入网络;如果包含,则允许其接入网络。
[0041]具体的,步骤302如图5所示,无线控制器端成功解密出无线用户设备特征码后,再去查询其“授权特征码表”中是否包含现接收并解密出的无线用户设备特征码,如果包含,则说明这个无线用户设备端是合法的,允许其接入网络,如果在“授权特征码表”中无法查询到现接收并解密出的无线用户设备特征码,则说明这个无线用户设备端是非法的或者 暂未授权的,则拒绝其接入网络。
[0042]无线控制器端的“授权特征码表”只允许具有超级权限的授权管理员访问并进行管理,一般的授权用户只有接入网络的权限,并无修改“授权特征码表”的权限。
[0043]本发明实施例提供的无线网络接入认证方法就类似在标准WiFi的WPA-PSK认证流程中,嵌入了 CPK数字签名认证流程,使其接入认证流程优化为四步,分别是探询请求、链路验证请求、CPK标识认证请求、关联请求,如图6所示;优化后的无线用户端设备只有成功的完成上述四步流程,才能接入网络,因此优化后的接入认证流程更加安全可信,也为以后的接入用户可管理可追溯做好铺垫。
[0044]此发明实施例提供的无线网络接入认证方法并不局限于对标准WiFi的WPA-PSK认证流程的优化,其他无线网络(如蓝牙、ZigBee等)的认证流程也可以按照此原理方式进行CPK标识认证强化。
[0045]本发明实施例提供的无线用户设备端,如图7所示,包括:
[0046]CPK Key集成单元701,通过常见的USB接口、SD卡接口或者SM卡接口实现与CPKKey的数据互通。
[0047]用CPK Key的私钥实现对无线用户设备特征码的数据签名,这些特征码包括但不限于物理MAC地址、组织唯一标识符(OUI)、CPK Key的标识号或者出厂设备序列号SN。
[0048]CPK标识认证接入请求单元702,将用CPK私钥签名完成后的数据整合进入到发送给无线控制器端的网络接入认证流程中。
[0049]示例性的,当CPK Key集成单元701集成了一个标识号为EA的CPK Key,那么CPK标识认证接入请求单元702就会用CPK私钥对标识号EA进行数据签名,并将签名后的数据整合进入到发送给无线控制器端的网络接入认证流程中。
[0050]本发明实施例提供的无线控制器端,如图8所示,包括:
[0051]CPK标识接收单元801,接收各个无线用户设备端发送的网络接入认证请求信息,并判断接入认证请求信息中是否包含CPK签名数据。根据CPK体制“私钥签名,公钥验证”的特点,CPK标识接收单元801利用CPK公钥对此签名数据进行解密验证,如果能成功解密出无线用户设备特征码,说明此接入认证请求信息包含CPK签名数据;如果不能解密,则说明此接入认证请求信息不包含CPK签名数据,则拒绝接入网络。
[0052]CPK标识验证单元802,验证接收到的CPK签名数据是否来自管理员授权的合法CPK Key。CPK标识接收单元801成功解密出无线用户设备特征码后,CPK标识验证单元802再去查询无线控制器端的“授权特征码表”中是否包含现接收并解密出的无线用户设备特征码,如有包含,则说明这个无线用户设备端是合法的,允许其接入网络;如果在“授权特征码表”中无法查询到现接收并解密出的无线用户设备特征码,则说明这个无线用户设备端是非法的或者暂未授权的,则拒绝其接入网络。
[0053]示例性的,如果CPK标识接收单元801接收到一个无线用户设备端发送的网络接入认证请求信息,并解密出其中含有EA的标识号,那么接下来CPK标识验证单元802就会判断标识号EA是否存在于“授权特征码表”中。如果“授权特征码表”不含有EA,则拒绝这个无线用户设备端的网络接入请求;如果含有,则允许其接入网络。
[0054]CPK标识管理单元803,提供给了超级系统管理员增加或者删减授权CPK标识的人机交互接口。
[0055]示例性的,当由于工作变动,持有标识号为EA的CPK Key的员工不再需要继续访问网络,那么超级系统管理员就可以通过CPK标识管理单元803提供的方便的人机交互接口从“授权特征码表”删除掉EA的标识号,相应的持有标识号为EA的CPK Key的员工也就无法再通过此无线控制器端访问网络。
[0056]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因为,本发明的保护范围应以所述权力要求的保护范围为准。
【主权项】
1.基于CPK标识认证的无线网络接入认证的方法,包含无线用户设备端和无线控制器端,其特征步骤包括: a.无线用户设备端集成了CPK Key,当其要求接入无线网络时,会将对无线用户设备自身特征码的CPK签名数据整合进入到发送给无线控制器端的接入认证请求信息中; b.无线控制器端具有CPK标识认证功能,能够对CPK签名数据进行验证,其在接收到无线设备端发送的接入认证请求信息后,首先判断此接入认证请求信息是否包含CPK签名数据,如果不包含则拒绝接入;如果包含,再判断此CPK签名数据中的特征码是否是无线控制器端已经授权的特征码,如果不是已经授权的特征码,则拒绝此无线用户设备接入网络,如果是则允许接入。2.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:上述中的CPK,就是组合公钥体制(Combined Public Key Cryptosystem,简称CPK),是在椭圆曲线密码(ECC)上,由组合矩阵和分割密钥序列构成,是一种先进的标识认证体制。3.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:包含无线用户设备端和无线控制器端,无需引入其他专门的认证服务设备,简化了认证系统的网络结构。4.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:步骤a中所述的无线用户设备端是指能够识别CPK Key,并能将CPK Key产生的签名数据整合到其发送的接入认证请求信息的无线用户设备。5.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:步骤a中所述的无线用户设备自身特征码包括但不限于物理MAC地址、组织唯一标识符(OUI)、CPK Key的标识号或者出厂设备序列号SN。6.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:步骤a中所述的CPK签名数据为依据CPK Key中的私钥对无线用户设备端特征码进行数字签名后的数据,由于CPK Key中的私钥理论上在任何情况下都无法被破解或者获取,故此数字签名后的数据具有极高的安全性和不可抵赖性。7.这种无线用户设备,其特征在于,包括: CPK Key集成单元,完成与CPK Key的数据互通,实现用CPK Key的私钥对无线用户设备特征码的数据签名; CPK标识认证请求单元,将用CPK私钥签名完成后的数据整合进入到发送给无线控制器端的网络接入认证流程中。8.如权利要求1所述的基于CPK标识认证的无线网络接入认证的方法,其特征为:步骤b中所述的无线控制器端是指集成了 CPK算法的,且能够解密CPK签名数据的无线接入控制装置;其授权特征码的增减都可以通过超级系统管理界面来方便地进行调整。9.这种无线控制器,其特征在于,包括: CPK标识接收单元,接收各个无线用户设备端发送的网络接入认证请求信息,并判断接入认证请求信息中是否包含CPK签名数据; CPK标识验证单元,验证接收到的CPK签名数据是否来自管理员授权的合法CPK Key所产生的签名数据; CPK标识管理单元,提供给超级系统管理员增加或者删减授权CPK标识的接口。10.此发明实施例适用于对现有无线网络的接入认证流程进行CPK标识认证优化,其适用范围包括但不局限于现有WiFi设备、蓝牙设备和Zigbee设备等无线设备的接入认证流程。
【专利摘要】本发明提供了一种基于CPK标识认证的无线网络接入认证的方法及装置,涉及无线通信和CPK标识认证领域。整个系统由无线控制器端和无线用户设备端两部分组成。该方法包括,无线用户设备端在集成CPK Key后,每次发送给无线控制器端的接入认证请求信息都包含CPK签名数据。无线控制器端在接收到无线用户设备发送的接入认证请求信息后,先判断请求信息中是否包含CPK签名数据,如果不包含,则拒绝此无线用户设备接入网络;如果包含,再判断此CPK签名数据中的特征码是否是无线控制器端已经授权的特征码,如果不是已经授权的特征码,则拒绝此无线用户设备接入网络,如果是则允许接入。本发明实施例用于安全可信、接入用户可管理的无线网络接入认证。
【IPC分类】H04W12/06
【公开号】CN104902473
【申请号】CN201410159313
【发明人】孟俊, 陈谦
【申请人】孟俊, 陈谦
【公开日】2015年9月9日
【申请日】2014年4月21日
最新回复(0)