欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

一種無線局域網(wǎng)接入認(rèn)證的實現(xiàn)方法

文檔序號:7977758閱讀:662來源:國知局
專利名稱:一種無線局域網(wǎng)接入認(rèn)證的實現(xiàn)方法
技術(shù)領(lǐng)域
本發(fā)明涉及接入認(rèn)證技術(shù),特別是指一種在無線局域網(wǎng)中實現(xiàn)一次性密碼接入認(rèn)證的方法。
背景技術(shù)
隨著用戶對無線接入速率的要求越來越高,無線局域網(wǎng)(WLAN,WirelessLocal Area Network)應(yīng)運(yùn)而生,它能在較小范圍內(nèi)提供高速的無線數(shù)據(jù)接入,是目前IT行業(yè)最熱門的技術(shù)之一,也是現(xiàn)在最流行的無線接入方式。無線局域網(wǎng)包括多種不同技術(shù),目前應(yīng)用較為廣泛的一個技術(shù)標(biāo)準(zhǔn)是IEEE 802.11b,它采用2.4GHz頻段,最高數(shù)據(jù)傳輸速率可達(dá)11Mbps,使用該頻段的還有IEEE802.11g和藍(lán)牙(Bluetooth)技術(shù),其中,802.11g最高數(shù)據(jù)傳輸速率可達(dá)54Mbps。其它新技術(shù)諸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz頻段,最高傳輸速率也可達(dá)到54Mbps。
目前的WLAN網(wǎng)絡(luò)主要采用802.1X系列協(xié)議,所謂802.1X協(xié)議是2001年6月電氣和電子工程師協(xié)會(IEEE)標(biāo)準(zhǔn)化組織正式通過的基于端口的網(wǎng)絡(luò)訪問控制協(xié)議。IEEE 802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議,其中,端口可以是物理端口,也可以是邏輯端口。
IEEE 802.1X的體系結(jié)構(gòu)如圖1所示,802.1X系統(tǒng)共有三個實體客戶端系統(tǒng)(Supplicant System)、設(shè)備端系統(tǒng)(Authenticator System)、認(rèn)證服務(wù)器系統(tǒng)(Authentication Server System)。在客戶端進(jìn)一步包括客戶端端口狀態(tài)實體(PAE),在設(shè)備端進(jìn)一步包括設(shè)備端系統(tǒng)提供的服務(wù)和設(shè)備端端口狀態(tài)實體,在認(rèn)證服務(wù)器系統(tǒng)中進(jìn)一步包括認(rèn)證服務(wù)器;該認(rèn)證服務(wù)器與設(shè)備端的端口狀態(tài)實體相連,通過擴(kuò)展認(rèn)證協(xié)議(EAP)來交換設(shè)備端和認(rèn)證服務(wù)器間的認(rèn)證信息,客戶端的端口狀態(tài)實體直接連到局域網(wǎng)(LAN)上,設(shè)備端的服務(wù)和端口狀態(tài)實體分別通過受控端口(Controlled Port)和非受控端口連接于局域網(wǎng)上,客戶端和設(shè)備端通過客戶端和設(shè)備端間的認(rèn)證協(xié)議(EAPoL)進(jìn)行通信。其中,Controlled Port負(fù)責(zé)控制網(wǎng)絡(luò)資源和業(yè)務(wù)的訪問。
如圖1所示,設(shè)備端系統(tǒng)的內(nèi)部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port),該非受控端口始終處于雙向連通狀態(tài),主要用來傳遞EAPoL協(xié)議幀,可保證隨時接收和發(fā)送EAPoL協(xié)議幀;而受控端口只有在認(rèn)證通過,即授權(quán)狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù),也就是說,在認(rèn)證未通過時該受控端口為未授權(quán)端口,受控端口可配置為雙向受控、僅輸入受控兩種方式,以適應(yīng)不同應(yīng)用環(huán)境的需要。
基于圖1所示的結(jié)構(gòu),IEEE 802.1X認(rèn)證的基本實現(xiàn)過程如圖2所示,包括以下步驟步驟201當(dāng)用戶登錄網(wǎng)絡(luò)時,客戶端收到用戶登錄信息后,向設(shè)備端發(fā)送認(rèn)證起始報文EAPoL-Start,觸發(fā)認(rèn)證過程。這里,如果客戶端是動態(tài)分配地址的,認(rèn)證起始報文也可能是DHCP請求報文;如果客戶端是手工配置地址的,認(rèn)證起始報文還可能是ARP請求報文。
步驟202~203設(shè)備端收到客戶端發(fā)來的EAPoL-Start報文后,向客戶端發(fā)出請求用戶名報文EAP-Request[Identity],請求用戶名;客戶端收到后,將用戶名通過響應(yīng)用戶名報文EAP-Response[Identity]發(fā)給設(shè)備端。
步驟204設(shè)備端收到客戶端的EAP-Response[Identity]報文后,通過接入請求報文Access-Request(EAP-Response[Identity])將用戶名透傳給認(rèn)證服務(wù)器。
步驟205認(rèn)證服務(wù)器收到接入請求報文后,向設(shè)備端發(fā)出請求用戶密碼報文EAP-Request[MD5 Challenge],并通過密碼請求報文Access-Challenge(EAP-Request[MD5 Challenge])透傳給設(shè)備端,向客戶端進(jìn)行MD5質(zhì)詢。
步驟206~208設(shè)備端收到認(rèn)證服務(wù)器發(fā)來的EAP-Request[MD5 Challenge]報文后,通過EAP-Request[MD5 Challenge]透傳給客戶端;客戶端收到后,將密碼通過響應(yīng)用戶密碼報文EAP-Response[MD5 Challenge]發(fā)給設(shè)備端;設(shè)備端再通過Access-Request(EAP-Response[MD5 Challenge])報文透傳給認(rèn)證服務(wù)器。
步驟209~210認(rèn)證服務(wù)器根據(jù)收到的報文進(jìn)行認(rèn)證,然后將認(rèn)證結(jié)果通過Access-Accept或Access-Reject報文發(fā)送給設(shè)備端;設(shè)備端收到后,再將認(rèn)證結(jié)果通過EAP-Success或EAP-Failure報文透傳給客戶端,通知用戶認(rèn)證成功或失敗。
現(xiàn)有技術(shù)中,從個人終端的操作方式來看,WLAN主要的接入認(rèn)證方式有兩種基于EAP-SIM的認(rèn)證方式和基于用戶名/密碼的認(rèn)證方式,其中EAP-SIM方式是利用用戶識別模塊(SIM)卡,通過IEEE 802.1X接入實現(xiàn)統(tǒng)一認(rèn)證、計費(fèi)。在基于用戶名/密碼的方式中,又分為兩種方式固定的用戶名/密碼和一次性密碼(OTP,One Time Password)方式,其中OTP方式是指每次采用不同的密碼進(jìn)行接入認(rèn)證。
通常,WLAN接入認(rèn)證采用固定用戶名/密碼方式,該方式是指用戶通過開戶向運(yùn)營商申請一個用戶名/密碼、或者通過購買預(yù)付費(fèi)卡獲得一個固定的用戶名/密碼,然后進(jìn)行802.1x客戶端接入認(rèn)證。在這種方式中,用戶在一段時間內(nèi)上網(wǎng)都是用同一個用戶名/密碼。如此,密碼容易被盜取,致使安全性降低。

發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種無線局域網(wǎng)接入認(rèn)證的實現(xiàn)方法,可提高WLAN接入認(rèn)證的安全性和可靠性。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種無線局域網(wǎng)接入認(rèn)證的實現(xiàn)方法,該方法包括以下步驟a.當(dāng)前無線局域網(wǎng)用戶終端作為客戶端,通過設(shè)備端將自身的用戶標(biāo)識信息發(fā)送給認(rèn)證服務(wù)器,發(fā)起接入認(rèn)證;b.認(rèn)證服務(wù)器根據(jù)所收到的用戶標(biāo)識信息,判斷是否需要獲取一次性密碼OTP,如果是,則認(rèn)證服務(wù)器隨機(jī)生成本次認(rèn)證所需的OTP,然后將所生成的密碼傳輸給客戶端,同時向設(shè)備端發(fā)送拒絕接入報文,執(zhí)行步驟c;否則,進(jìn)行正常的接入認(rèn)證,結(jié)束當(dāng)前流程;c.收到密碼的客戶端再次向設(shè)備端發(fā)起認(rèn)證流程,該收到密碼的客戶端將自身的用戶名和所收到的密碼通過設(shè)備端發(fā)送給認(rèn)證服務(wù)器,完成自身的無線局域網(wǎng)接入認(rèn)證。
上述方案中,當(dāng)前無線局域網(wǎng)用戶終端作為客戶端以802.1X方式發(fā)起接入認(rèn)證;則步驟a為當(dāng)前無線局域網(wǎng)用戶終端作為客戶端向設(shè)備端發(fā)送認(rèn)證起始報文,設(shè)備端收到后向客戶端請求用戶名,客戶端向設(shè)備端返回攜帶有用戶標(biāo)識字段的響應(yīng)報丈,設(shè)備端收到后,將該響應(yīng)報丈透傳給認(rèn)證服務(wù)器;步驟b為認(rèn)證服務(wù)器對所收到的響應(yīng)報文進(jìn)行解析,并根據(jù)解析出的用戶標(biāo)識字段判斷是否需要獲取OTP,如果是,則認(rèn)證服務(wù)器隨機(jī)生成本次認(rèn)證所需的OTP,然后將所生成的密碼傳輸給客戶端,同時向設(shè)備端發(fā)送拒絕接入報文,執(zhí)行步驟c;否則,進(jìn)行正常的802.1X認(rèn)證,結(jié)束當(dāng)前流程;步驟c為收到密碼的客戶端再次向設(shè)備端發(fā)送認(rèn)證起始報丈,重新發(fā)起802.1X認(rèn)證流程,該收到密碼的客戶端將自身的用戶名和所收到的密碼通過設(shè)備端發(fā)送給認(rèn)證服務(wù)器,完成自身的無線局域網(wǎng)接入認(rèn)證。
上述方案中,當(dāng)前無線局域網(wǎng)用戶終端作為客戶端以PPPoE方式發(fā)起接入認(rèn)證;則步驟a為當(dāng)前無線局域網(wǎng)用戶終端作為客戶端,先通過PPPoE發(fā)現(xiàn)階段報文交互找到當(dāng)前可用的設(shè)備端,再將自身的用戶標(biāo)識信息通過所發(fā)現(xiàn)的可用設(shè)備端發(fā)送給認(rèn)證服務(wù)器。
基于802.1X進(jìn)行認(rèn)證時,步驟a中所述客戶端向設(shè)備端發(fā)送響應(yīng)報文為客戶端向設(shè)備端發(fā)送表示需要獲取OTP的響應(yīng)報文。其中,步驟a中客戶端向設(shè)備端發(fā)送以用戶名@OTP為用戶標(biāo)識字段的響應(yīng)報丈,則步驟b中所述判斷為認(rèn)證服務(wù)器判斷解析出的域名部分是否為OTP,如果是,則需要獲取OTP;否則,不需要獲取OTP,進(jìn)行正常的802.1X認(rèn)證。
基于802.1X進(jìn)行認(rèn)證時,步驟b進(jìn)一步包括認(rèn)證服務(wù)器在生成OTP之前,先根據(jù)所收到響應(yīng)報文中的用戶名信息,從歸屬位置寄存器中獲取當(dāng)前客戶端的簽約信息,并根據(jù)所獲得的簽約信息判斷當(dāng)前客戶端是否具有WLAN業(yè)務(wù)權(quán)限,如果有,再隨機(jī)生成本次認(rèn)證所需的OTP;否則,向設(shè)備端返回拒絕接入消息。
上述方案中,步驟b中所述將生成密碼傳輸給客戶端為認(rèn)證服務(wù)器將所生成的密碼以短消息方式發(fā)送給當(dāng)前客戶端對應(yīng)的手機(jī)用戶。所述以短消息方式發(fā)送進(jìn)一步包括認(rèn)證服務(wù)器將所生成的密碼通過短消息點(diǎn)對點(diǎn)協(xié)議打包成短消息,提交給短消息服務(wù)中心,再由短消息服務(wù)中心將含有密碼的短消息發(fā)送給當(dāng)前客戶端對應(yīng)的手機(jī)用戶。那么,該方法進(jìn)一步包括短消息服務(wù)中心收到含有密碼的短消息后,向認(rèn)證服務(wù)器回送表示成功接收短消息的響應(yīng)報文。
上述方案中,步驟b所述隨機(jī)生成OTP為認(rèn)證服務(wù)器根據(jù)解析出的用戶名隨機(jī)生成本次認(rèn)證所需的OTP。其中,所述用戶名為當(dāng)前無線局域網(wǎng)用戶終端的移動臺國際ISDN號碼。
上述方案中,步驟b中所述的拒絕接入報文中攜帶有本次失敗的原因。其中,所述拒絕接入報文中失敗原因的攜帶格式為[OTP]Error code=失敗原因?qū)?yīng)的取值;Message=失敗原因說明。步驟b中設(shè)備端收到攜帶有失敗原因的拒絕接入報文后,根據(jù)具體的失敗原因向客戶端發(fā)送響應(yīng)的失敗原因提示。
該方法進(jìn)一步包括為每個生成的OTP設(shè)置一個使用有效期。則步驟c中收到密碼的客戶端在該密碼對應(yīng)的使用有效期內(nèi)隨時向設(shè)備端發(fā)送接入認(rèn)證請求,觸發(fā)接入認(rèn)證流程。
該方法進(jìn)一步包括預(yù)先建立認(rèn)證服務(wù)器與短消息服務(wù)中心的虛連接。
因此,本發(fā)明所提供的無線局域網(wǎng)接入認(rèn)證的實現(xiàn)方法,將OTP和WLAN相結(jié)合,在WLAN的組網(wǎng)方式中用OTP認(rèn)證方式實現(xiàn)用戶的上網(wǎng)控制,通過IEEE 802.1X來實現(xiàn)OTP取密碼、認(rèn)證全流程,在一定的時限內(nèi)保證密碼有效,并使用戶每次上網(wǎng)所采用的密碼均不相同,從而減少了密碼被盜的可能性,為WLAN接入認(rèn)證提供了一種安全可靠性高、方便易用的認(rèn)證模式,更有效地保證了用戶利益。
另外,采用一次性密碼的實現(xiàn)方式,不僅操作靈活、易于實現(xiàn);而且,彌補(bǔ)了802.1X只能通過固定用戶名/密碼方式進(jìn)行認(rèn)證的缺陷,豐富了WLAN的接入認(rèn)證手段。并且,通過IEEE 802.1X接入方式實現(xiàn)OTP,充分利用了IEEE802.1X基于端口認(rèn)證的優(yōu)勢和安全度高的特點(diǎn),切實可行。


圖1為IEEE 802.1X的體系結(jié)構(gòu)示意圖;圖2為802.1X接入認(rèn)證的實現(xiàn)流程圖;圖3為本發(fā)明實現(xiàn)OTP接入認(rèn)證一實施例的WLAN組網(wǎng)結(jié)構(gòu)示意圖;圖4為本發(fā)明中基于802.1X的OTP接入認(rèn)證實現(xiàn)的流程圖。
具體實施例方式
本發(fā)明的核心思想是在采用OTP方式實現(xiàn)WLAN的接入認(rèn)證時,先利用802.1X的接入過程獲取本次認(rèn)證所需的一次性密碼;然后,再利用所獲取的密碼進(jìn)行真正的802.1X認(rèn)證過程,完成WLAN的接入認(rèn)證。也就是說,本發(fā)明通過兩次802.1X接入過程實現(xiàn)了OTP的密碼獲取和接入認(rèn)證的全過程。這里,每次的一次性密碼由認(rèn)證服務(wù)器隨機(jī)生成。
下面結(jié)合附圖及具體實施例對本發(fā)明再作進(jìn)一步詳細(xì)的說明。
圖3為本發(fā)明中以O(shè)TP方式實現(xiàn)WLAN接入認(rèn)證的一實施例的組網(wǎng)結(jié)構(gòu)示意圖,如圖3所示,接入點(diǎn)(AP)為WLAN業(yè)務(wù)網(wǎng)絡(luò)中的小型無線基站設(shè)備,用于完成802.11b系列標(biāo)準(zhǔn)的無線接入功能;接入控制設(shè)備(AC),用于控制用戶接入WLAN網(wǎng)絡(luò);認(rèn)證服務(wù)器(AS),用于對用戶進(jìn)行認(rèn)證、授權(quán)和計費(fèi);短消息服務(wù)中心(SMSC),用于將OTP密碼通過短消息方式發(fā)送給用戶;歸屬位置寄存器(HLR),用于存儲用戶信息;計費(fèi)網(wǎng)關(guān)(CG),用來根據(jù)所收到的通信信息生成計費(fèi)話單;計費(fèi)中心(BOSS),用于對用戶進(jìn)行計費(fèi),主要是接收和記錄網(wǎng)絡(luò)傳來的用戶計費(fèi)信息,并進(jìn)行統(tǒng)計和控制,其中用戶計費(fèi)信息可以包括在線計費(fèi)用戶的在線費(fèi)用信息。
通常,在無線局域網(wǎng)中,WLAN用戶終端通過自身當(dāng)前所屬的AP接入WLAN網(wǎng)絡(luò),并經(jīng)由AC到AS上進(jìn)行接入認(rèn)證,認(rèn)證通過后,即可在WLAN中進(jìn)行通信。對于802.1X接入認(rèn)證來說,WLAN用戶終端就是客戶端,AC相當(dāng)于設(shè)備端,AS相當(dāng)于認(rèn)證服務(wù)器。
本發(fā)明先通過802.1X認(rèn)證過程中,WLAN用戶終端STA響應(yīng)用戶名報文請求,向AC發(fā)送自身用戶名的步驟,利用特殊的格式通知AC要獲取一次性密碼;AS隨機(jī)生成本次、當(dāng)前用戶終端的一次性密碼后,通過安全的方式將所生成的密碼通知當(dāng)前發(fā)起接入認(rèn)證的WLAN用戶,比如通過短消息方式;同時,AS還通過發(fā)送拒絕接入消息結(jié)束本次認(rèn)證過程;當(dāng)前用戶收到一次性密碼后重新發(fā)起802.1X認(rèn)證過程,完成WLAN的接入認(rèn)證。
基于圖3所示的網(wǎng)絡(luò)結(jié)構(gòu),以將一次性密碼以短消息方式發(fā)送給WLAN用戶為例,說明本發(fā)明的具體實現(xiàn)流程。本實施例中,由于采用短消息發(fā)送一次性密碼方式,所以在AS正常運(yùn)行后,首先要建立與SMSC之間的發(fā)送虛連接,具體過程是AS向SMSC傳送發(fā)送綁定報文bind_transmitter,請求建立AS與SMSC之間的發(fā)送虛連接;SMSC收到后,則向AS回送發(fā)送綁定響應(yīng)報文bind_transmitter_resp,表示建立虛連接成功。
如圖4所示,本實施例以O(shè)TP方式實現(xiàn)WLAN接入認(rèn)證具體包括步驟401~403與現(xiàn)有技術(shù)中的步驟201~203類似,不同的是用戶登錄時,在客戶端上輸入MSISDN@OTP并通過AP向AC發(fā)送EAPoL-Start,發(fā)起認(rèn)證過程;然后,客戶端在收到AC發(fā)來的請求用戶名報文后,在用戶名響應(yīng)報文中將MSISDN@OTP發(fā)送給AC。
這里,MSISDN@OTP為用戶標(biāo)識字段,也就是用戶標(biāo)識信息,包括用戶名和域名兩部分,其中MSISDN為用戶名部分,OTP為域名部分,客戶端以O(shè)TP為域名來表示需要獲取一次性密碼,當(dāng)然,認(rèn)證系統(tǒng)也可以定義其它特殊的域名來表示。而且,認(rèn)證系統(tǒng)還可以采用其它形式來表示需要獲取一次性密碼,比如通過擴(kuò)展消息屬性、字段,增加表示獲取密碼的字段等方式。
步驟404AC在收到用戶的EAP-Response[Identify]報文后,將該EAP-Response[Identify]報文進(jìn)行封裝后發(fā)送給AS,即發(fā)接入請求報文Access-Request給AS。
這里,假定設(shè)備端AC與認(rèn)證服務(wù)器AS之間通過EAPoR(EAP over Radius)協(xié)議進(jìn)行通信,則AC將EAP-Response[Identify]報丈封裝在用戶遠(yuǎn)程撥號認(rèn)證服務(wù)(RADIUS)報文中,通過EAPoR報文形式發(fā)送給AS。
步驟405~406AS收到接入請求報文后,解析出報文中的用戶標(biāo)識字段,并根據(jù)其中“@”后的域名部分確定是否為OTP取密碼流程,如果“@”后為“OTP”,則當(dāng)前為OTP取密碼流程,否則,為正常的802.1X認(rèn)證過程,按現(xiàn)有技術(shù)的處理流程完成認(rèn)證即可。
如果是OTP取密碼流程,則AS可根據(jù)需要直接生成本次的一次性密碼,此種情況下,直接執(zhí)行步驟407;或者,AS在進(jìn)行WLAN業(yè)務(wù)權(quán)限判定后再確定是否生成一次性密碼,這種情況下,AS先根據(jù)用戶標(biāo)識字段中的MSISDN向HLR發(fā)起取用戶國際移動用戶標(biāo)識(IMSI)的消息;AS獲取用戶IMSI后,再向HLR發(fā)送取用戶簽約數(shù)據(jù)報文,要求獲取該用戶的簽約信息,以檢查該用戶的WLAN業(yè)務(wù)屬性,進(jìn)而判斷該用戶是否有權(quán)限進(jìn)行OTP業(yè)務(wù)。這里,如果當(dāng)前用戶終端不具備WLAN業(yè)務(wù)權(quán)限,則AS會向AC發(fā)送拒絕接入消息,AC再向當(dāng)前用戶終端發(fā)送接入失敗的報文,結(jié)束本次接入認(rèn)證流程。
步驟407~408AS根據(jù)解析出的、用戶的MSISDN隨機(jī)生成一次性密碼Key,然后,AS將生成的密碼Key通過短消息點(diǎn)對點(diǎn)協(xié)議(SMPP)打包成短消息的形式,通過提交短消息報文Submit_SM將密碼Key發(fā)送給SMSC;SMSC收到后,向AS發(fā)送短消息提交響應(yīng)報文Submit_SM_resp,對Submit_SM消息進(jìn)行響應(yīng),表示成功收到短消息;之后,SMSC再通過短消息向當(dāng)前用戶的手機(jī)發(fā)送AS生成的密碼Key。
本步驟中,AS也可以不根據(jù)用戶的MSISDN生成一次性密碼,AS可以根據(jù)任意的密碼生成算法,比如利用隨機(jī)數(shù)、隨機(jī)種子加上某種現(xiàn)有的加密算法獲得一個加密密鑰,將該密鑰作為一次性密碼。另外,AS也可以通過其它協(xié)議方式將短消息打包,提交給SMSC,比如通過七號信令方式打包。
步驟409~410當(dāng)AS成功的將密碼發(fā)給短消息中心后,AS向AC發(fā)送拒絕接入報文Access-Reject,該報文中可以攜帶本次失敗的原因。
為了實現(xiàn)失敗原因值的下發(fā),可以擴(kuò)展Radius標(biāo)準(zhǔn)消息的屬性Reply-Message,按照格式“[OTP]Error code=<code>;Message=<string>”定義一系列相關(guān)的失敗原因,其中,Error code為失敗原因?qū)?yīng)的取值,Message是指該失敗原因值的含義,即表示何種失敗,AC可以根據(jù)code值的不同向用戶輸出不同的提示。
AC在收到AS下發(fā)的Access-Reject報文后,解析出具體的失敗原因,然后通知用戶。在本實施例中,AC在收到AS的拒絕接入報文Access-Reject后,剝離出其中的失敗報文EAP-Failure,發(fā)送給客戶端,同時,AC可以根據(jù)失敗原因向用戶提示“密碼已通過短消息發(fā)送”。
上述步驟401~410即為OTP密碼獲取流程,如圖4中虛線框內(nèi)步驟所示,獲取密碼后,當(dāng)前用戶終端即可使用所獲得的密碼進(jìn)行接入認(rèn)證,即執(zhí)行步驟411~422。獲取密碼后,當(dāng)前用戶終端可以立即進(jìn)行接入認(rèn)證,也可以在間隔一段時間后再進(jìn)行接入認(rèn)證,因此可以對每個一次性密碼設(shè)置一個使用有效期,有效期的值可實時設(shè)定,也可預(yù)先設(shè)定一個默認(rèn)值,比如設(shè)有效期默認(rèn)值為半小時,那么,當(dāng)前用戶終端在半小時內(nèi)隨時都可以利用所獲取的一次性密碼發(fā)起一次802.1X認(rèn)證。
步驟411用戶在獲取一次性密碼后,在客戶端上輸入MSISDN@Simple以及從手機(jī)中得到的密碼,再通過EAPoL_Start報文重新發(fā)起新的一次802.1x接入認(rèn)證流程。這里,采用Simple作為域名只是為了區(qū)別于密碼獲取的認(rèn)證過程,說明本次為正常認(rèn)證流程,實際上該域名可根據(jù)運(yùn)營商需要任意設(shè)置。
步驟412~414AC收到認(rèn)證起始報文EAPoL_Start后,向客戶端發(fā)送EAP-Request[Identity],要求客戶端將用戶名Identity送上來;客戶端響應(yīng)AC請求,發(fā)送EAP-Response[Identity],將MSISDN@Simple發(fā)送給AC;AC收到后,再將EAP-Response[Identify]報文封裝在RADIUS報文里,通過EAPoR報文形式發(fā)送給AS。
步驟415~417AS向AC發(fā)送密碼請求報文Access-Challenge(EAP-Request[MD5 Challenge]),請求密碼進(jìn)行認(rèn)證;AC收到密碼請求報文后,剝離出其中的EAP-Request[MD5 Challenge]報文,發(fā)送給客戶端,請求MD5認(rèn)證;客戶端收到EAP-Request[MD5 Challenge]報文后,按照MD5加密算法對用戶輸入的密碼,即本次采用的一次性密碼Key進(jìn)行加密,然后通過密碼響應(yīng)報文EAP-Response[MD5 Challenge]將密碼回應(yīng)給AC。
步驟418~420AC收到客戶端響應(yīng)后,將EAP-Response[MD5 Challenge]報文封裝在Radius請求報文里發(fā)送給AS,作為Access-Challenge(EAP-Request[MD5 Challenge])的響應(yīng);AS收到Access-Request(EAP-Response[MD5Challenge])報文后,按照同樣的MD5加密算法對曾產(chǎn)生的、對應(yīng)當(dāng)前用戶終端的一次性密碼Key進(jìn)行加密,然后判斷加密后的結(jié)果是否與從報文中解析出的密碼相同,如果相等,則AS向AC發(fā)送認(rèn)證成功報文Access-Accept;否則,發(fā)送認(rèn)證拒絕報文Access-Reject;AC如果收到Access-Accept報文,則向客戶端發(fā)送認(rèn)證成功報文EAP-Success,標(biāo)識接入認(rèn)證成功;否則,向客戶端發(fā)送認(rèn)證失敗報文EAP-Failure,標(biāo)識接入認(rèn)證失敗。
步驟421~422接入成功后,客戶端進(jìn)行DHCP,并開始進(jìn)行計費(fèi)。當(dāng)然,WLAN還可以通過PPPoE方式實現(xiàn)OTP的接入認(rèn)證,該方式以當(dāng)前用戶終端作為PPPoE客戶端,通過輸入用戶的手機(jī)號申請密碼,認(rèn)證服務(wù)器通過短消息將所生成的密碼發(fā)送到提出申請用戶的手機(jī)上,然后獲取密碼的用戶再通過輸入從手機(jī)中獲取的密碼進(jìn)行接入認(rèn)證。其中,PPPoE具體要經(jīng)過兩個過程進(jìn)行接入發(fā)現(xiàn)階段和會話階段,發(fā)現(xiàn)階段可分為四步,其實這個過程也是PPPOE四種數(shù)據(jù)報文的交換的一個過程。當(dāng)完成這四步后,用戶主機(jī)與設(shè)備端雙方就能獲知對方的MAC地址和唯一的會話ID號,從而進(jìn)入到會話階段;會話階段就是典型的PPP過程,在鏈路協(xié)商的時候,先與設(shè)備端協(xié)商認(rèn)證方式,比如采用PAP或CHAP認(rèn)證方式,然后設(shè)備端通過Radius報文將用戶的標(biāo)識信息,如MSISDN@domain信息送到認(rèn)證服務(wù)器,實現(xiàn)整個過程。
以上所述,僅為本發(fā)明的較佳實施例而已,并非用來限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種無線局域網(wǎng)接入認(rèn)證的實現(xiàn)方法,其特征在于,該方法包括以下步驟a.當(dāng)前無線局域網(wǎng)用戶終端作為客戶端,通過設(shè)備端將自身的用戶標(biāo)識信息發(fā)送給認(rèn)證服務(wù)器,發(fā)起接入認(rèn)證;b.認(rèn)證服務(wù)器根據(jù)所收到的用戶標(biāo)識信息,判斷是否需要獲取一次性密碼OTP,如果是,則認(rèn)證服務(wù)器隨機(jī)生成本次認(rèn)證所需的OTP,然后將所生成的密碼傳輸給客戶端,同時向設(shè)備端發(fā)送拒絕接入報文,執(zhí)行步驟c;否則,進(jìn)行正常的接入認(rèn)證,結(jié)束當(dāng)前流程;c.收到密碼的客戶端再次向設(shè)備端發(fā)起認(rèn)證流程,該收到密碼的客戶端將自身的用戶名和所收到的密碼通過設(shè)備端發(fā)送給認(rèn)證服務(wù)器,完成自身的無線局域網(wǎng)接入認(rèn)證。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,當(dāng)前無線局域網(wǎng)用戶終端作為客戶端以802.1X方式發(fā)起接入認(rèn)證;則步驟a為當(dāng)前無線局域網(wǎng)用戶終端作為客戶端向設(shè)備端發(fā)送認(rèn)證起始報文,設(shè)備端收到后向客戶端請求用戶名,客戶端向設(shè)備端返回攜帶有用戶標(biāo)識字段的響應(yīng)報文,設(shè)備端收到后,將該響應(yīng)報文透傳給認(rèn)證服務(wù)器;步驟b為認(rèn)證服務(wù)器對所收到的響應(yīng)報文進(jìn)行解析,并根據(jù)解析出的用戶標(biāo)識字段判斷是否需要獲取OTP,如果是,則認(rèn)證服務(wù)器隨機(jī)生成本次認(rèn)證所需的OTP,然后將所生成的密碼傳輸給客戶端,同時向設(shè)備端發(fā)送拒絕接入報文,執(zhí)行步驟c;否則,進(jìn)行正常的802.1X認(rèn)證,結(jié)束當(dāng)前流程;步驟c為收到密碼的客戶端再次向設(shè)備端發(fā)送認(rèn)證起始報文,重新發(fā)起802.1X認(rèn)證流程,該收到密碼的客戶端將自身的用戶名和所收到的密碼通過設(shè)備端發(fā)送給認(rèn)證服務(wù)器,完成自身的無線局域網(wǎng)接入認(rèn)證。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,當(dāng)前無線局域網(wǎng)用戶終端作為客戶端以PPPoE方式發(fā)起接入認(rèn)證;則步驟a為當(dāng)前無線局域網(wǎng)用戶終端作為客戶端,先通過PPPoE發(fā)現(xiàn)階段報文交互找到當(dāng)前可用的設(shè)備端,再將自身的用戶標(biāo)識信息通過所發(fā)現(xiàn)的可用設(shè)備端發(fā)送給認(rèn)證服務(wù)器。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,步驟a中所述客戶端向設(shè)備端發(fā)送響應(yīng)報文為客戶端向設(shè)備端發(fā)送表示需要獲取OTP的響應(yīng)報文。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,步驟a中客戶端向設(shè)備端發(fā)送以用戶名@OTP為用戶標(biāo)識字段的響應(yīng)報文,則步驟b中所述判斷為認(rèn)證服務(wù)器判斷解析出的域名部分是否為OTP,如果是,則需要獲取OTP;否則,不需要獲取OTP,進(jìn)行正常的802.1X認(rèn)證。
6.根據(jù)權(quán)利要求2所述的方法,其特征在于,步驟b進(jìn)一步包括認(rèn)證服務(wù)器在生成OTP之前,先根據(jù)所收到響應(yīng)報文中的用戶名信息,從歸屬位置寄存器中獲取當(dāng)前客戶端的簽約信息,并根據(jù)所獲得的簽約信息判斷當(dāng)前客戶端是否具有WLAN業(yè)務(wù)權(quán)限,如果有,再隨機(jī)生成本次認(rèn)證所需的OTP;否則,向設(shè)備端返回拒絕接入消息。
7.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,步驟b中所述將生成密碼傳輸給客戶端為認(rèn)證服務(wù)器將所生成的密碼以短消息方式發(fā)送給當(dāng)前客戶端對應(yīng)的手機(jī)用戶。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述以短消息方式發(fā)送進(jìn)一步包括認(rèn)證服務(wù)器將所生成的密碼通過短消息點(diǎn)對點(diǎn)協(xié)議打包成短消息,提交給短消息服務(wù)中心,再由短消息服務(wù)中心將含有密碼的短消息發(fā)送給當(dāng)前客戶端對應(yīng)的手機(jī)用戶。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,該方法進(jìn)一步包括短消息服務(wù)中心收到含有密碼的短消息后,向認(rèn)證服務(wù)器回送表示成功接收短消息的響應(yīng)報文。
10.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,步驟b所述隨機(jī)生成OTP為認(rèn)證服務(wù)器根據(jù)解析出的用戶名隨機(jī)生成本次認(rèn)證所需的OTP。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于,所述用戶名為當(dāng)前無線局域網(wǎng)用戶終端的移動臺國際ISDN號碼。
12.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,步驟b中所述的拒絕接入報文中攜帶有本次失敗的原因。
13.根據(jù)權(quán)利要求12所述的方法,其特征在于,所述拒絕接入報文中失敗原因的攜帶格式為[OTP]Error code=失敗原因?qū)?yīng)的取值;Message=失敗原因說明。
14.根據(jù)權(quán)利要求12所述的方法,其特征在于,步驟b中設(shè)備端收到攜帶有失敗原因的拒絕接入報文后,根據(jù)具體的失敗原因向客戶端發(fā)送響應(yīng)的失敗原因提示。
15.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,該方法進(jìn)一步包括為每個生成的OTP設(shè)置一個使用有效期。
16.根據(jù)權(quán)利要求15所述的方法,其特征在于,步驟c中收到密碼的客戶端在該密碼對應(yīng)的使用有效期內(nèi)隨時向設(shè)備端發(fā)送接入認(rèn)證請求,觸發(fā)接入認(rèn)證流程。
17.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,該方法進(jìn)一步包括預(yù)先建立認(rèn)證服務(wù)器與短消息服務(wù)中心的虛連接。
全文摘要
本發(fā)明公開了一種無線局域網(wǎng)接入認(rèn)證的實現(xiàn)方法,包括a)當(dāng)前無線局域網(wǎng)用戶終端作為客戶端,通過設(shè)備端將自身的用戶標(biāo)識信息發(fā)送給認(rèn)證服務(wù)器,發(fā)起接入認(rèn)證;b)認(rèn)證服務(wù)器根據(jù)所收到的用戶標(biāo)識信息,判斷是否需要獲取一次性密碼(OTP),如果是,則認(rèn)證服務(wù)器隨機(jī)生成本次認(rèn)證所需的OTP,然后將所生成的密碼傳輸給客戶端,同時向設(shè)備端發(fā)送拒絕接入報文,執(zhí)行步驟c;否則,進(jìn)行正常的接入認(rèn)證,結(jié)束當(dāng)前流程;c)收到密碼的客戶端再次向設(shè)備端發(fā)起認(rèn)證流程,該收到密碼的客戶端將自身的用戶名和所收到的密碼通過設(shè)備端發(fā)送給認(rèn)證服務(wù)器,完成自身的無線局域網(wǎng)接入認(rèn)證。該方法可提高WLAN接入認(rèn)證的安全性和可靠性。
文檔編號H04L12/28GK1595894SQ03159178
公開日2005年3月16日 申請日期2003年9月10日 優(yōu)先權(quán)日2003年9月10日
發(fā)明者趙毅, 潘強(qiáng), 歐陽容冰, 高江海, 李小燕, 陳殿福, 林明, 汪靜, 陳衛(wèi)民, 鄭小春, 彭文欽, 謝鈴, 謝南, 靳廣亮 申請人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1
阳原县| 金坛市| 喀喇沁旗| 子洲县| 江西省| 朝阳县| 城固县| 孟村| 佛教| 洛南县| 琼海市| 休宁县| 石狮市| 集贤县| 阿鲁科尔沁旗| 东海县| 四子王旗| 南通市| 六安市| 翁牛特旗| 广汉市| 松阳县| 永兴县| 库车县| 磴口县| 呼玛县| 大田县| 南昌县| 右玉县| 伊川县| 舞阳县| 钦州市| 龙游县| 新闻| 栾川县| 惠来县| 泾源县| 沙湾县| 皋兰县| 恩平市| 周口市|