CN103220673B - Wlan用户认证方法、认证服务器及用户设备 - Google Patents
Wlan用户认证方法、认证服务器及用户设备 Download PDFInfo
- Publication number
- CN103220673B CN103220673B CN201310146092.XA CN201310146092A CN103220673B CN 103220673 B CN103220673 B CN 103220673B CN 201310146092 A CN201310146092 A CN 201310146092A CN 103220673 B CN103220673 B CN 103220673B
- Authority
- CN
- China
- Prior art keywords
- account data
- certificate
- authentication
- certificate server
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种无线局域网WLAN用户认证方法、认证服务器及用户设备。本发明的WLAN用户认证方法,包括:认证服务器获取用户设备UE发起的认证请求报文,所述认证请求报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息;所述认证服务器解析所述账号数据信息,当所述账号数据信息有效时,为所述UE返回认证成功报文。在本发明的方法,通过验证UE根据认证服务器签发的数字证书生成的账号数据信息来进行WLAN用户认证,无需用户每次输入账号与密码,即可实现快速认证,避免了采用字典或穷举方式破解账号密码,增强了抵御攻击的能力,提高了WLAN用户认证的安全性。
Description
技术领域
本发明涉及无线通信技术,尤其涉及一种无线局域网(WirelessLocalAreaNetworks,简称WLAN)用户认证方法、认证服务器及用户设备(UserEquipment,简称UE)。
背景技术
WLAN系统一般由终端浏览器、门户服务器、宽带接入服务器(BroadbandRemoteAccessServer,简称BRAS)、本地认证授权计费服务器(Authentication,Authorization,AccountingServer,简称AAA服务器)、全国漫游中心、归属地AAA服务器组成,负责实现用户的接入、认证、计费全过程。
现有WLAN采用校验“账号”与“密码”匹配的方式进行用户认证。其中,密码由系统随机生成,一般为字母数字混合字符序列,且密码限定位长。具体地,由AAA服务器生成并保存用户账号和密码,并进行用户认证、授权、计费等操作。并且,本地的AAA服务器还与BRAS交互,识别并转发异地用户的认证请求、计费请求与响应。AAA服务器在执行认证授权功能时,主要包括解析账号、判别漫游、判别账号密码相符、账号状态有效、账号唯一性、预付费以及个性化绑定校验等过程。
现有的WLAN用户认证方法,依赖于宽带接入账号和密码进行验证,由于宽带接入账号和密码难以抵御字典或穷举方式的攻击,因此,现有的WLAN用户认证方法缺乏防抵御手段,安全性差。
发明内容
本发明的第一个方面是提供一种无线局域网WLAN用户认证方法,用以解决现有技术中WLAN系统采用校验“账号”与“密码”匹配的方式进行用户认证,以及账号、密码易受字典或穷举方式的攻击,安全性差的缺陷,实现WLAN系统的安全认证,提高抵御攻击的能力。
本发明的另一个方面是提供一种认证服务器,用以解决现有技术中WLAN系统认证安全性差的缺陷,实现WLAN系统的安全认证,使得WLAN的用户认证防抵御手段强,安全性高。
本发明的又一个方面是提供一种用户设备,用以解决现有技术中WLAN系统认证安全性差的缺陷,增强WLAN的用户认证防抵御手段,提高用户接入WLAN网络的安全性。
本发明的第一个方面是提供一种无线局域网WLAN用户认证方法,包括:认证服务器获取用户设备UE(UserEquipment,简称UE)发起的认证请求报文,所述认证请求报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息;
所述认证服务器解析所述账号数据信息,当所述账号数据信息有效时,为所述UE返回认证成功报文。
如上所述的方法,其中,所述认证服务器获取UE发起的认证请求报文之前,还包括:
所述认证服务器获取所述UE发起的数字证书请求报文,所述数字证书请求报文中包括数字证书请求信息;
所述认证服务器根据所述数字证书请求信息,生成所述数字证书并返回给所述UE,以使所述UE根据所述数字证书生成账号数据信息。
如上所述的方法,其中,所述账号数据信息包括:用户标识、域名、随机数、算法标识、认证信息和数字签名;
如上所述的方法,其中,所述认证服务器解析所述账号数据信息之后,包括:所述认证服务器判断所述算法标识是否有效,如果是,所述认证服务器判断所述随机数是否有效,如果是,所述认证服务器判断所述数字签名是否有效,如果是,执行为所述UE返回认证成功报文的步骤;如果所述认证服务器判断所述算法标识无效或所述随机数无效或所述数字签名无效,所述认证服务器为所述UE返回认证失败报文。
本发明的另一个方面是提供一种无线局域网WLAN用户认证方法,包括:
用户设备UE向认证服务器发起认证请求报文,所述认证请求报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息,以使所述认证服务器解析所述账号数据信息;
所述UE接收所述认证服务器在所述账号数据信息有效时返回的认证成功报文。
如上所述的方法,其中,所述UE向认证服务器发起认证请求报文之前,还包括:
所述UE向所述认证服务器发起数字证书请求报文,所述数字证书请求报文中包括数字证书请求信息,以使所述认证服务器根据所述数字证书请求信息生成所述数字证书;
所述UE接收所述认证服务器返回的数字证书;
所述UE根据所述数字证书生成账号数据信息。
如上所述的方法,其中,
所述数字证书包括:用户标识、域名和认证信息;
所述UE根据所述数字证书生成账号数据信息包括:所述UE获取所述认证服务器生成的随机数;所述UE对所述随机数、摘要与加密操作对应的算法标识和所述数字证书中的所述用户标识、域名及认证信息进行摘要与加密操作,获得数字签名;所述UE组合所述用户标识、域名、随机数、算法标识、认证信息和数字签名,生成账号数据信息。
如上所述的方法,其中,
所述账号数据信息包括:账号数据项和密码数据项,所述账号数据项包括:所述用户标识和所述域名,所述密码数据项包括:所述摘要与加密操作对应的算法标识、所述随机数、所述认证信息和所述数字签名;
或者,所述账号数据信息包括:账号数据项和密码数据项,所述账号数据项包括:所述数字签名的第一分拆项、所述用户标识和所述域名,所述密码数据项包括:所述摘要与加密操作对应的算法标识、所述随机数、所述认证信息和所述数字签名的第二分拆项。
本发明的又一个方面是提供一种认证服务器,包括:
接收单元,用于获取用户设备UE发起的认证请求报文,所述认证请求报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息;
认证单元,用于解析所述账号数据信息,当所述账号数据信息有效时,为所述UE返回认证成功报文。
如上所述的认证服务器,其中,还包括:数字证书单元;
所述接收单元还用于获取所述UE发起的数字证书请求报文,所述数字证书请求报文中包括数字证书请求信息;
所述数字证书单元用于根据所述数字证书请求信息,生成所述数字证书并返回给所述UE,以使所述UE根据所述数字证书生成账号数据信息。
如上所述的认证服务器,其中,
所述账号数据信息包括:用户标识、域名、随机数、算法标识、认证信息和数字签名;
所述认证单元具体用于判断所述算法标识是否有效,如果是,判断所述随机数是否有效,如果是,判断所述数字签名是否有效,如果是,执行为所述UE返回认证成功报文的步骤;如果所述认证单元判断所述算法标识无效或所述随机数无效或所述数字签名无效,为所述UE返回认证失败报文。
本发明的再一个方面是提供一种用户设备UE,包括:
请求单元,用于向认证服务器发起认证请求报文,所述认证请求报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息,以使所述认证服务器解析所述账号数据信息;
接收单元,用于接收所述认证服务器在所述账号数据信息有效时返回的认证成功报文。
如上所述的UE,其中,所述请求单元还用于向所述认证服务器发起数字证书请求报文,所述数字证书请求报文中包括数字证书请求信息,以使所述认证服务器根据所述数字证书请求信息生成所述数字证书;
所述接收单元还用于接收所述认证服务器返回的数字证书;
所述UE还包括:
账号数据单元,用于根据所述数字证书生成账号数据信息。
如上所述的UE,其中,
所述数字证书包括:用户标识、域名和认证信息;
所述账号数据单元具体用于:
获取所述认证服务器生成的随机数,对所述随机数、摘要与加密操作对应的算法标识和所述数字证书中的所述用户标识、域名及认证信息进行摘要与加密操作,获得数字签名,组合所述用户标识、域名、随机数、算法标识、认证信息和数字签名,生成账号数据信息。
如上所述的用户设备UE,其中,
所述账号数据信息包括:账号数据项和密码数据项,所述账号数据项包括:所述用户标识和所述域名,所述密码数据项包括:所述摘要与加密操作对应的算法标识、所述随机数、所述认证信息和所述数字签名;
或者,所述账号数据信息包括:账号数据项和密码数据项,所述账号数据项包括:所述数字签名的第一分拆项、所述用户标识和所述域名,所述密码数据项包括:所述摘要与加密操作对应的算法标识、所述随机数、所述认证信息和所述数字签名的第二分拆项。
由上述发明内容可见,在本发明中,通过验证UE根据认证服务器签发的数字证书生成的账号数据信息来进行WLAN用户认证,无需用户每次输入账号与密码,即可实现快速认证,避免了采用字典或穷举方式破解账号密码,增强了抵御攻击的能力,提高了WLAN用户认证的安全性。
附图说明
图1为本发明实施例一的WLAN用户认证方法的流程图;
图2为本发明实施例二的WLAN用户认证方法的流程图;
图3为本发明实施例三的WLAN用户认证方法的流程图;
图4a为本发明实施例三的一种密码数据项的结构示意图;
图4b为图4a所示的密码数据项对应的账号数据项的结构示意图;
图5a为本发明实施例三的另一种密码数据项的结构示意图;
图5b为图5a所示的密码数据项对应的账号数据项的结构示意图;
图6为本发明实施例四的认证服务器的结构示意图;
图7为本发明实施例五的用户设备的结构示意图;
图8为本发明实施例六的WLAN系统的结构示意图。
具体实施方式
图1为本发明实施例一的WLAN用户认证方法的流程图。该方法的执行主体为认证服务器。如图1所示,本实施例的方法包括:
步骤101:认证服务器获取用户设备(UserEquipment,简称UE)发起的认证请求报文。
在本步骤中,具体的,认证服务器获取UE发起的认证请求报文,其中,该认证请求报文中包括UE根据认证服务器签发的数字证书生成的账号数据信息。具体地,该账号数据信息中包含认证服务器向UE签发的数字证书中所包含的内容。例如,用户设备UE需要接入WLAN系统时,先发起一个认证请求报文,该报文中包括UE根据认证服务器签发的数字证书生成的账号数据信息;然后,认证服务器获取该报文。其中,该用户设备UE可以是手机终端。
步骤102:认证服务器解析账号数据信息,当账号数据信息有效时,为UE返回认证成功报文。
该步骤中,认证服务器在对获取的认证请求报文中所包含的账号数据信息进行解析,当验证账号数据信息有效时,为UE返回认证成功报文;否则,返回错误消息。
在本发明实施例一中,通过验证UE根据认证服务器签发的数字证书生成的账号数据信息来进行WLAN用户认证,无需用户每次输入账号与密码,即可实现快速认证,避免了采用字典或穷举方式破解账号密码,增强了抵御攻击的能力,提高了WLAN用户认证的安全性。
图2为本发明实施例二的WLAN用户认证方法的流程图,该方法的执行主体为用户设备,且该用户设备UE可以是手机终端。如图2所示,本实施例的方法包括如下步骤:
步骤201:用户设备UE向认证服务器发起认证请求报文。
在本步骤中,用户设备UE向认证服务器发起认证请求报文。具体地,该认证请求报文中包括UE根据认证服务器签发的数字证书生成的账号数据信息,以使认证服务器解析账号数据信息;例如,用户设备UE需要接入WLAN系统时,先发起一个认证请求报文,该报文中包括UE根据认证服务器签发的数字证书生成的账号数据信息;然后,认证服务器会获取该报文,并对该报文所包含的账号数据信息进行解析。
步骤202:UE接收认证服务器在账号数据信息有效时返回的认证成功报文。
具体地,在该步骤中,认证服务器在对获取的认证请求报文中所包含的账号数据信息进行解析,并当验证账号数据信息有效时,为UE返回认证成功报文。UE接收该认证成功报文。
本发明实施例中,通过验证UE根据认证服务器签发的数字证书生成的账号数据信息来进行WLAN用户认证,无需用户每次输入账号与密码,即可实现快速认证,避免了采用字典或穷举方式破解账号密码,增强了抵御攻击的能力,提高了WLAN用户认证的安全性。
图3为本发明实施例三的WLAN用户认证方法的流程图。如图3所示,该方法包括:
步骤301:认证服务器获取UE发起的数字证书请求报文;
在本步骤中,具体地,UE发起数字证书请求报文,该数字证书请求报文中包括数字证书请求信息,认证服务器获取该UE发起的数字证书请求报文。在本实施例中,该UE可以是手机终端。当用户初次进行WLAN快速登陆时,UE检测到数字证书不存在,即生成公私密钥对,向认证服务器发出包括数字证书请求信息的报文,以申请数字证书。具体地,该数字证书请求报文中还包括UE生成的公钥以及终端信息。数字证书请求信息可以包括:用户标识和域名和认证信息等,也可包括其他能够表明用户身份的信息,或表明用户身份信息的组合。其中,用户标识可以为用户手机号码和/或终端信息等用户的唯一标识,优选地,可以为用户的手机号码,域名可以为业务类型和/或归属地标识和/或国家代码等,认证信息可以为16字节美国标准信息交换码(AmericanStandardCodeforInformationInterchangeII,简称ASCII),优选地,可包括UE与手机号码的关联信息和/或UE软件的会话识别码(SESSIONIdentity,简称SESSIONID)等内容。
步骤302:认证服务器生成数字证书并返回给UE。
认证服务器根据UE所发的数字证书请求信息,生成数字证书并返回给UE,UE接收并存储认证服务器发送的数字证书。
具体地,认证服务器解析数字证书请求报文,并判断用户手机号码所对应的账户状态。认证服务器判断手机号码的账户状态正常,即签发数字证书并更新关联数据。具体地,该数字证书的内容可以包括用户标识、域名和认证信息等。用户标识可以为用户的手机号码和/或终端信息等用户的唯一标识,优选地,可以为用户的手机号码;域名可以为业务类型和/或归属地标识和/或国家代码等;认证信息可以为16字节ASCII,优选地,可包括UE与手机号码的关联信息和/或UE软件的SESSIONID等内容。认证服务器将生成的数字证书返回给UE,UE接收并存储认证服务器发送的数字证书。
数字证书可以只在UE首次安装运行WLAN时生成,UE存储该数字证书,在以后登录时不需要再次生成数字证书。
步骤303:UE生成账号数据信息。
具体地,UE接收并存储认证服务器发送的数字证书后,在每次需要登录WLAN时,UE便首先向门户服务器发起超文本传输协议(HyperTextTransportProtocol,简称HTTP)请求,门户服务器向认证服务器请求获取随机数;认证服务器生成随机数,并向门户服务器返回随机数;门户服务器响应HTTP请求,将随机数返回给UE。然后,UE提取认证服务器发送的数字证书中所包含的信息,如用户标识、域名和认证信息等信息;然后,UE对用户标识、域名、随机数、摘要与加密操作对应的算法标识和认证信息等进行摘要与加密操作,获得数字签名;其中,认证信息可以为16字节ASCII码,优选地,可包括UE与手机号码的关联信息和/或UE软件的SESSIONID等内容;算法标识为系统预先定义的1字节ASCII码,代表进行摘要与加密操作生成数字签名的算法,加密算法的密钥可以为UE生成的公私密钥对中的私钥。最后,UE将用户标识、域名、随机数、算法标识、认证信息和数字签名进行组合,生成账号数据信息。
具体地,账号数据信息可以包括:账号数据项和密码数据项。其中,账号数据项可以包括用户标识、域名等信息,也可包括其他能够表明用户身份的信息或表明用户身份信息的组合。其中,用户标识可以为用户的手机号码、终端信息等用户的唯一标识,优选地,可以为用户的手机号码;域名可以包含业务类型和/或归属地标识和/或国家代码等。密码数据项包括:摘要与加密操作对应的算法标识、随机数、认证信息和数字签名等。
具体地,根据摘要与加密操作的方式不同,亦即根据算法标识的不同,密码数据项与其对应的账号数据项可以采用不同的结构。图4a为本发明实施例三的一种密码数据项的结构示意图;图4b为图4a所示的密码数据项对应的账号数据项的结构示意图;图5a为本发明实施例三的另一种密码数据项的结构示意图;图5b为图5a所示的密码数据项对应的账号数据项的结构示意图。
下面通过具体的实施例对上述两种账号、密码数据项进行说明。
其中,本发明实施例三的一种密码数据项的结构参见图4a,算法标识为1字节ASCII码,如果算法标识取值为1,代表摘要算法为安全散列算法(SecureHashAlgorithm,简称SHA)1,加密算法为RSA1024;如果算法标识取值为2,代表摘要算法为SHA1,加密算法为错误检查纠正码(ErrorCorrectingCode,简称ECC),密钥位长256bit;如果算法标识取值为3,代表摘要算法为SHA256,加密算法为ECC,密钥位长256bit。随机数为16字节ASCII码。认证信息为16字节为ASCII码,优选地,可包括UE与手机号码的关联信息和/或UE软件的SESSIONID等内容。数字签名是对用户标识、域名、随机数、摘要与加密操作对应的算法标识和认证信息等账号数据信息中其他的信息进行摘要与加密操作而生成。
图4a所示的密码数据项对应的账号数据项的结构参见图4b,域名可以为业务类型和/或归属地标识和/或国家代码等。
采用ECC算法的数字签名,转化为可见ASCII码,长度与格式满足远程用户拨号认证系统(RemoteAuthenticationDialInUserService,简称RADIUS)协议密码数据项要求。因此,当算法标识取值为2或3时,即使用ECC算法时,账号数据项格式可以为“手机号码域名”,如图4b所示。其中,手机号码真实有效,以手机号码作为用户标识;域名可以包含业务类型和/或归属地标志和/或国家代码等。与其对应的密码数据项的格式可以为“算法标识&随机数&认证信息&数字签名”,如图4a所示。
假设算法标识为2,nvojjhh34io43433为随机数,2349keor3j377332为认证信息,66vpencpc27829edixbcyl2372f6npjinqw为数字签名,则密码数据项可以如下:
2nvojjhh34io434332349keor3j37733266vpencpc27829edixbcyl2372f6npjinqw。
假设,186XXXX5588为手机号码,业务类型为wo,归属地标志为bj,国家代码为cn,其中,账号数据项中的域名包括上述业务类型和/或归属地标志和/或国家代码,则其对应的账号数据项假设如下:
186XXXX5588wo.bj.cn。
或者,账号数据信息包括:账号数据项和密码数据项。其中,参见图5b,账号数据项可以包括:数字签名的第一分拆项、用户标识和域名,也可包括其他能够表明用户身份的信息,或表明用户身份信息的组合。其中,用户标识可以为用户的手机号码、终端信息等用户的唯一标识,优选地,可以为用户的手机号码;域名可以包含业务类型和/或归属地标识和/或国家代码等;参见图5a,密码数据项可以包括:摘要与加密操作对应的算法标识、随机数、认证信息和数字签名的第二分拆项。
当采用RSA1024算法的数字签名,转化为可见ASCII码,长度超出现网RADIUS协议密码数据项要求的128字节,故应分拆超出77字节填充到账号数据项中。此分拆的字节数根据经验值所取,但并不限于此。因此,例如当算法标识取值为1时,账号数据项格式可以为“数字签名的第一分拆项&手机号码域名”,如图5b所示。其中,手机号码真实有效,以手机号码作为用户标识;域名可包含业务类型、归属地标志、国家代码等。密码数据项包括:摘要与加密操作对应的算法标识、随机数、认证信息和数字签名的第二分拆项,如图5b所示。
假设,算法标识为1,nvojjhh34io43433为随机数,2349keor3j377332为认证信息,66vpencpc27829edixbcyl2372f6npjinqweqazc2f53637rteuvncmchrueomnlgfhsapbaesrbxu7589233677nnttiummo36500为数字签名的第二分拆项,尚有77字节的数字签名在账号数据项中。则密码数据项如下:
1nvojjhh34io434332349keor3j37733266vpencpc27829edixbcyl2372f6npjinqweqazc2f53637rteuvncmchrueomnlgfhsapbaesrbxu7589233677nnttiummo36500
假设,186XXXX5588为手机号码,业务类型为wo,归属地标志为bj,国家代码为cn。则其对应的账号数据项可如下:
217bcw984micue9eytdunxc8nryxg3b37850nbxt64bex88x2q90x0mnrdrypkdyjgffdeniosxunry186XXXX5588wo.bj.cn。其中,
217bcw984micue9eytdunxc8nryxg3b37850nbxt64bex88x2q90x0mnrdrypkdyjgffdeniosxunry为数字签名的第一分拆项,其与上述的数字签名的第二分拆项共同构成数字签名。
然而,上述账号数据项和密码数据项中各类信息的存储顺序、位长及格式等并不限于上述实施例所述,可在满足整个数据项长度的范围内,以及满足编码型号的基础上,进行其他形式的调整或设置。
步骤304:UE发出认证请求报文;
当UE生成账号数据信息后,向认证服务器发起认证请求报文,该报文中包括UE生成的账号数据信息;然后,认证服务器获取该报文。其中,该UE可以是手机终端。具体地,认证服务器获取UE发起的认证请求报文的过程可以包括如下步骤:首先,UE生成认证请求报文并经过门户服务器发送给宽带接入服务器(BroadbandRemoteAccessServer,简称BRAS)/接入控制器(AccessController,简称AC),然后,该BRAS/AC对认证请求报文进行协议转换后依次经过本地AAA服务器、全国漫游中心和归属地AAA服务器发送给认证服务器。
步骤305:认证服务器判断算法标识是否有效;
该步骤中,认证服务器对获取的认证请求报文中所包含的账号数据信息进行解析,判断算法标识是否有效。此处,判断算法标识是否有效,是判断该算法标识是否属于针对不同的摘要、加密算法所定义的算法标识,如本实施例中所定义的算法标识的取值为1、2或3等。具体地,可以将针对不同的摘要、加密算法所定义的算法标识预先保存在认证服务器中,在对账号数据信息进行解析后,若其中的算法标识可在认证服务器中找到,即可判定该算法标识有效;否则,若账号数据信息中的算法标识在认证服务器中未找到,则判定该算法标识无效。若该算法标识有效,则继续步骤306;若无效,则执行步骤309。
步骤306:认证服务器判断随机数是否有效;
认证服务器判断算法标识有效后,继续判断随机数是否有效。随机数具有生命周期。认证服务器在生成随机数之后,在自身的暂存记录中存储该随机数,在到达该随机数的生命周期时,在暂存记录中删除该随机数。当认证服务器判断算法标识有效后,继续判断该暂存记录中是否有解析账号数据信息获得的随机数。若有,则判定随机数有效;否则,若暂存记录中没有解析账号数据信息获得的随机数,则判定随机数无效。若该随机数有效,则继续步骤307;若该随机数无效,则执行步骤309。
步骤307:认证服务器判断数字签名是否有效;
认证服务器判断随机数有效后,继续判断数字签名是否有效。具体地,可以利用由UE发送给认证服务器的公钥对数字签名进行解密,然后判断数字签名中包含的信息是否与账号数据项或密码数据项中包含的同类信息一致。例如,判断数字签名中包含的用户标识是否与账号数据项中包含的用户标识一致,判断数字签名中包含的随机数是否与密码数据项中包含的随机数一致等等。若数字签名中包含的各项信息均与账号数据项或密码数据项中包含的同类信息一致,认证服务器判断数字签名有效;否则,若数字签名中包含的信息中存在与账号数据项或密码数据项中包含的同类信息不同的信息,则认证服务器判断数字签名无效。若认证服务器判断该数字签名有效,则继续步骤308;若认证服务器判断该数字签名无效,则转步骤309。
步骤308:认证服务器为UE返回认证成功报文;
认证服务器判断算法标识、随机数、数字签名都有效后,则认证成功,为UE返回认证成功报文。具体地,认证服务器为UE返回认证成功报文的过程可以包括如下步骤:首先,认证服务器生成认证成功报文并依次经过归属地AAA服务器、全国漫游中心和本地AAA服务器发送给BRAS/AC,然后,BRAS/AC对认证成功报文进行协议转换后经过门户服务器发送给UE。
步骤309:认证服务器为UE返回认证失败报文;
认证服务器判断算法标识或随机数或数字签名无效后,则认证失败,为UE返回认证失败报文。具体地,认证服务器为UE返回认证失败报文的具体过程可以包括如下步骤:认证服务器生成认证失败报文并依次经过归属地AAA服务器、全国漫游中心和本地AAA服务器发送给BRAS/AC,BRAS/AC对认证失败报文进行协议转换后经过门户服务器发送给UE。
在本发明实施例三中,通过验证账号数据信息的方式进行WLAN用户认证,无需用户每次输入账号与密码,即可实现快速认证,避免了采用字典或穷举方式破解账号密码,增强了抵御攻击的能力,提高了WLAN用户认证的安全性。而且,生成的账号数据信息包括账号数据项和密码数据项,其中,包括用户标识、域名、摘要与加密操作对应的算法标识、随机数、认证信息和数字签名等信息,根据上述信息生成的账号数据信息安全性高。并且,还可以对数字签名分拆为两项,分别存储到账号数据项和密码数据项中,通过分拆保证了将数字签名的全部信息携带在账号数据信息中,进一步保证了账号数据信息的安全性。
图6为本发明实施例四的认证服务器的结构示意图。如图6所示,该认证服务器600包括接收单元601和认证单元602。
其中,接收单元601用于获取用户设备UE发起的认证请求报文,且该认证请求报文中包括UE根据认证服务器600签发的数字证书生成的账号数据信息;认证单元602用于解析账号数据信息,当账号数据信息有效时,为UE返回认证成功报文。
本实施例的认证服务器,可以用于执行本发明实施例一所述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。在上述实施例的基础上,进一步地,该认证服务器600还可以包括数字证书单元603。接收单元601还用于获取UE发起的数字证书请求报文,该数字证书请求报文中包括数字证书请求信息;
数字证书单元603用于根据数字证书请求信息,生成数字证书并返回给UE,以使UE根据数字证书生成账号数据信息。
在上述实施例的基础上,进一步地,该账号数据信息可以包括:用户标识、域名、随机数、算法标识、认证信息和数字签名。其中,用户标识可以为用户手机号码和/或终端信息等用户的唯一标识;域名可以为业务类型和/或归属地标识和/或国家代码等;认证信息可以为16字节ASCII码,优选地,可包括UE与手机号码的关联信息和/或UE软件的SESSIONID等内容;算法标识为1字节ASCII码,代表进行摘要与加密操作生成数字签名的算法;数字签名是对用户标识、域名、随机数、摘要与加密操作对应的算法标识和认证信息等进行摘要与加密操作而生成;随机数由于是随机生成的,没有规律可循,因此在账号数据信息包括随机数,可使该账号数据信息不易被破解,防止重放攻击,有效提高了数字证书的安全性。
进一步地,在上述实施例的基础上,认证单元602具体用于判断算法标识是否有效,如果是,判断随机数是否有效,如果是,判断数字签名是否有效,如果是,执行为UE返回认证成功报文的步骤;如果认证单元602判断算法标识无效或随机数无效或数字签名无效,为UE返回认证失败报文。
本实施例的认证服务器,可以用于执行本发明实施例一至本发明实施例三所述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明实施例五的用户设备的结构示意图。如图7所示,本实施例的用户设备,可以包括:请求单元701和接收单元702。
其中,请求单元701用于向认证服务器发起认证请求报文,认证请求报文中包括用户设备UE根据认证服务器签发的数字证书生成的账号数据信息,以使认证服务器解析账号数据信息;
接收单元702用于接收认证服务器在账号数据信息有效时返回的认证成功报文。
本实施例的用户设备,可以用于执行本发明实施例二所述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
进一步地,在上述实施例的基础上,请求单元701还用于向认证服务器发起数字证书请求报文,具体地,该数字证书请求报文中包括数字证书请求信息,以使认证服务器根据数字证书请求信息生成数字证书。
接收单元702还用于接收认证服务器返回的数字证书。
进一步地,该用户设备还可以包括账号数据单元703。具体地,该账号数据单元703可以用于根据数字证书生成账号数据信息。
进一步地,在上述实施例的基础上,数字证书可以包括:用户标识、域名和认证信息;
账号数据单元703具体可以用于获取认证服务器生成的随机数;对随机数、摘要与加密操作对应的算法标识和数字证书中的用户标识、域名及认证信息进行摘要与加密操作,获得数字签名;组合用户标识、域名、随机数、算法标识、认证信息和数字签名,生成账号数据信息。
进一步地,在上述实施例的基础上,一种可行的实施方式是:账号数据信息可以包括:账号数据项和密码数据项。其中,账号数据项包括:用户标识和域名,密码数据项包括:摘要与加密操作对应的算法标识、随机数、认证信息和数字签名;
或者,另一种可行的实施方式是:账号数据信息可以包括:账号数据项和密码数据项。其中,账号数据项包括:数字签名的第一分拆项、用户标识和域名,密码数据项包括:摘要与加密操作对应的算法标识、随机数、认证信息和数字签名的第二分拆项。
本实施例的用户设备,可以用于执行本发明实施例一至本发明实施例三所述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本发明实施例六的WLAN系统的结构示意图。如图8所示,在上述任意实施例技术方案的基础上,本发明实施例的WLAN系统可以包括:门户服务器100、BRAS/AC200、本地AAA服务器300、全国漫游中心400、归属地AAA服务器500、认证服务器600和UE700。
首先,在用户初次登陆的时候,UE700向认证服务器600发起数字证书请求报文,认证服务器600生成数字证书并返回给UE700。
其次,UE700生成账号数据信息。具体地,UE700接收并存储认证服务器600发送的数字证书后,在每次需要登录时,UE700便首先向门户服务器100发起HTTP请求,门户服务器100向认证服务器600请求获取随机数;认证服务器600生成随机数,并向门户服务器100返回随机数;门户服务器100响应HTTP请求,将随机数返回给UE700。UE700提取认证服务器600发送的数字证书中所包含的信息,如用户标识、域名和认证信息等信息;然后,对用户标识、域名、随机数、摘要与加密操作对应的算法标识和认证信息等进行摘要与加密操作,获得数字签名;最后,UE700将用户标识、域名、随机数、算法标识、认证信息和数字签名进行组合,生成账号数据信息。
再次,UE700发出认证请求报文,认证服务器600获取该认证请求报文。具体地,UE700向认证服务器600发起认证请求报文,该认证请求报文经过门户服务器100发送给BRAS/AC200,该BRAS/AC200对认证请求报文进行协议转换后依次经过本地AAA服务器300、全国漫游中心400和归属地AAA服务器500发送给认证服务器600。
认证服务器600获取UE700发起的认证请求报文后,并对其所包含信息进行认证,认证成功后,将认证成功报文依次经过归属地AAA服务器500、全国漫游中心400和本地AAA服务器300发送给BRAS/AC200,BRAS/AC200对认证成功报文进行协议转换后经过门户服务器100再发送给UE700。
当认证服务器600获取UE700发起的认证请求报文后但认证失败,则认证服务器600生成认证失败报文并依次经过归属地AAA服务器500、全国漫游中心400和本地AAA服务器300发送给BRAS/AC200,BRAS/AC200对认证失败报文进行协议转换后经过门户服务器100发送给UE700。
另外,在对非漫游用户,亦即本地用户的认证,则不需通过全国漫游中心400和归属地AAA服务器500,认证请求报文由BRAS/AC200进行协议转换后直接由本地AAA服务器300转发至认证服务器600,并经认证服务器600认证后,将认证响应报文直接发送本地AAA服务器300,再由本地AAA服务器300发送给BRAS/AC200,BRAS/AC200对认证响应报文进行协议转换后经过门户服务器100发送给UE700。
在现有技术中,AAA服务器一般都实现认证、授权和计费功能,但对于本实施例,AAA服务器仅实现授权与计费功能,由认证服务器600单独去实现认证功能。且认证服务器600作为一个逻辑功能单元,其也可以与AAA服务器和合并实现。
在本发明实施例六中,认证服务器可以与AAA服务器分别设置,也可以将认证服务器设置在AAA服务器上,实施方式的灵活性高。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (4)
1.一种无线局域网WLAN用户认证方法,其特征在于,包括:
认证服务器获取用户设备UE发起的认证请求报文,所述认证请求报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息;
所述认证服务器解析所述账号数据信息,当所述账号数据信息有效时,为所述UE返回认证成功报文;
所述认证服务器获取UE发起的认证请求报文之前,还包括:
所述认证服务器获取所述UE发起的数字证书请求报文,所述数字证书请求报文中包括数字证书请求信息;
所述认证服务器根据所述数字证书请求信息,生成所述数字证书并返回给所述UE,以使所述UE根据所述数字证书生成账号数据信息;
所述账号数据信息包括:用户标识、域名、随机数、算法标识、认证信息和数字签名;所述认证服务器解析所述账号数据信息之后,包括:所述认证服务器判断所述算法标识是否有效,如果是,所述认证服务器判断所述随机数是否有效,如果是,所述认证服务器判断所述数字签名是否有效,如果是,执行为所述UE返回认证成功报文的步骤;如果所述认证服务器判断所述算法标识无效或所述随机数无效或所述数字签名无效,所述认证服务器为所述UE返回认证失败报文。
2.一种无线局域网WLAN用户认证方法,其特征在于,包括:
用户设备UE向认证服务器发起认证请求报文,所述认证请求报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息,以使所述认证服务器解析所述账号数据信息;
所述UE接收所述认证服务器在所述账号数据信息有效时返回的认证成功报文;所述UE向认证服务器发起认证请求报文之前,还包括:所述UE向所述认证服务器发起数字证书请求报文,所述数字证书请求报文中包括数字证书请求信息,以使所述认证服务器根据所述数字证书请求信息生成所述数字证书;所述UE接收所述认证服务器返回的数字证书;所述UE根据所述数字证书生成账号数据信息;所述数字证书包括:用户标识、域名和认证信息;
所述UE根据所述数字证书生成账号数据信息包括:所述UE获取所述认证服务器生成的随机数;所述UE对所述随机数、摘要与加密操作对应的算法标识和所述数字证书中的所述用户标识、域名及认证信息进行摘要与加密操作,获得数字签名;所述UE组合所述用户标识、域名、随机数、算法标识、认证信息和数字签名,生成账号数据信息;
所述账号数据信息包括:账号数据项和密码数据项,所述账号数据项包括:所述用户标识和所述域名,所述密码数据项包括:所述摘要与加密操作对应的算法标识、所述随机数、所述认证信息和所述数字签名;
或者,所述账号数据信息包括:账号数据项和密码数据项,所述账号数据项包括:所述数字签名的第一分拆项、所述用户标识和所述域名,所述密码数据项包括:所述摘要与加密操作对应的算法标识、所述随机数、所述认证信息和所述数字签名的第二分拆项。
3.一种认证服务器,其特征在于,包括:
接收单元,用于获取用户设备UE发起的认证请求报文,所述认证请求报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息;
认证单元,用于解析所述账号数据信息,当所述账号数据信息有效时,为所述UE返回认证成功报文;
所述认证服务器还包括:数字证书单元;
所述接收单元还用于获取所述UE发起的数字证书请求报文,所述数字证书请求报文中包括数字证书请求信息;
所述数字证书单元用于根据所述数字证书请求信息,生成所述数字证书并返回给所述UE,以使所述UE根据所述数字证书生成账号数据信息;
所述账号数据信息包括:用户标识、域名、随机数、算法标识、认证信息和数字签名;
所述认证单元具体用于判断所述算法标识是否有效,如果是,判断所述随机数是否有效,如果是,判断所述数字签名是否有效,如果是,执行为所述UE返回认证成功报文的步骤;如果所述认证单元判断所述算法标识无效或所述随机数无效或所述数字签名无效,为所述UE返回认证失败报文。
4.一种用户设备UE,其特征在于,包括:
请求单元,用于向认证服务器发起认证请求报文,所述认证请求报文中包括所述UE根据所述认证服务器签发的数字证书生成的账号数据信息,以使所述认证服务器解析所述账号数据信息;
接收单元,用于接收所述认证服务器在所述账号数据信息有效时返回的认证成功报文;
所述请求单元还用于向所述认证服务器发起数字证书请求报文,所述数字证书请求报文中包括数字证书请求信息,以使所述认证服务器根据所述数字证书请求信息生成所述数字证书;
所述接收单元还用于接收所述认证服务器返回的数字证书;
所述UE还包括:账号数据单元,用于根据所述数字证书生成账号数据信息;
所述数字证书包括:用户标识、域名和认证信息;所述账号数据单元具体用于获取所述认证服务器生成的随机数,对所述随机数、摘要与加密操作对应的算法标识和所述数字证书中的所述用户标识、域名及认证信息进行摘要与加密操作,获得数字签名,组合所述用户标识、域名、随机数、算法标识、认证信息和数字签名,生成账号数据信息;
所述账号数据信息包括:账号数据项和密码数据项,所述账号数据项包括:所述用户标识和所述域名,所述密码数据项包括:所述摘要与加密操作对应的算法标识、所述随机数、所述认证信息和所述数字签名;
或者,所述账号数据信息包括:账号数据项和密码数据项,所述账号数据项包括:所述数字签名的第一分拆项、所述用户标识和所述域名,所述密码数据项包括:所述摘要与加密操作对应的算法标识、所述随机数、所述认证信息和所述数字签名的第二分拆项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310146092.XA CN103220673B (zh) | 2013-04-24 | 2013-04-24 | Wlan用户认证方法、认证服务器及用户设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310146092.XA CN103220673B (zh) | 2013-04-24 | 2013-04-24 | Wlan用户认证方法、认证服务器及用户设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103220673A CN103220673A (zh) | 2013-07-24 |
| CN103220673B true CN103220673B (zh) | 2016-03-02 |
Family
ID=48818035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310146092.XA Active CN103220673B (zh) | 2013-04-24 | 2013-04-24 | Wlan用户认证方法、认证服务器及用户设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103220673B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104796254A (zh) * | 2014-01-22 | 2015-07-22 | 赵章红 | 基于ecc的公文流转方法 |
| CN106209751B (zh) * | 2015-05-08 | 2019-05-03 | 中标软件有限公司 | 基于操作系统授权证书的面向服务的接口认证方法 |
| US20170325270A1 (en) * | 2016-05-06 | 2017-11-09 | Futurewei Technologies, Inc. | System and Method for Device Identification and Authentication |
| CN106130733B (zh) * | 2016-06-23 | 2018-02-13 | 北京海泰方圆科技股份有限公司 | 更新配置的方法、装置和系统 |
| CN107317680B (zh) * | 2017-06-28 | 2021-06-15 | 努比亚技术有限公司 | 安全账号的标记方法、系统及计算机可读存储介质 |
| CN108449568A (zh) * | 2018-01-31 | 2018-08-24 | 苏州科达科技股份有限公司 | 用于视频会议的身份认证方法及装置 |
| CN110147658A (zh) * | 2019-04-16 | 2019-08-20 | 平安科技(深圳)有限公司 | 用户信息加解密方法、系统和计算机设备 |
| JP7445135B2 (ja) * | 2020-08-27 | 2024-03-07 | 富士通株式会社 | 通信プログラム、通信装置、通信方法、及び通信システム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794631A (zh) * | 2005-12-26 | 2006-06-28 | 李代甫 | 数字签名的签名装置和方法 |
| CN101778380A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种身份认证方法、设备及系统 |
| CN101919278A (zh) * | 2007-12-28 | 2010-12-15 | 摩托罗拉公司 | 使用数字证书的无线设备认证 |
| CN102378175A (zh) * | 2011-10-08 | 2012-03-14 | 华为终端有限公司 | 一种无线局域网络认证方法及移动终端 |
| CN102946602A (zh) * | 2012-12-04 | 2013-02-27 | 镇江江大科茂信息系统有限责任公司 | 移动信息系统的隐私保护加密方法 |
| CN103036872A (zh) * | 2012-11-19 | 2013-04-10 | 华为技术有限公司 | 数据传输的加密和解密方法、设备及系统 |
-
2013
- 2013-04-24 CN CN201310146092.XA patent/CN103220673B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794631A (zh) * | 2005-12-26 | 2006-06-28 | 李代甫 | 数字签名的签名装置和方法 |
| CN101919278A (zh) * | 2007-12-28 | 2010-12-15 | 摩托罗拉公司 | 使用数字证书的无线设备认证 |
| CN101778380A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种身份认证方法、设备及系统 |
| CN102378175A (zh) * | 2011-10-08 | 2012-03-14 | 华为终端有限公司 | 一种无线局域网络认证方法及移动终端 |
| CN103036872A (zh) * | 2012-11-19 | 2013-04-10 | 华为技术有限公司 | 数据传输的加密和解密方法、设备及系统 |
| CN102946602A (zh) * | 2012-12-04 | 2013-02-27 | 镇江江大科茂信息系统有限责任公司 | 移动信息系统的隐私保护加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103220673A (zh) | 2013-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103220673B (zh) | Wlan用户认证方法、认证服务器及用户设备 | |
| CN107948204B (zh) | 一键登录方法及系统、相关设备以及计算机可读存储介质 | |
| CN102638794B (zh) | 鉴权和密钥协商方法、认证方法、系统及设备 | |
| CN101183932B (zh) | 一种无线应用服务的安全认证系统及其注册和登录方法 | |
| CN103051453B (zh) | 一种基于数字证书的移动终端网络安全交易系统与方法 | |
| CN105516195B (zh) | 一种基于应用平台登录的安全认证系统及其认证方法 | |
| CN109347635A (zh) | 一种基于国密算法的物联网安全认证系统及认证方法 | |
| CN107612889B (zh) | 防止用户信息泄露的方法 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN105050081A (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN103428699A (zh) | 一种基于手机硬件特征信息的注册绑定和身份认证的方法 | |
| CN102196434A (zh) | 无线局域网终端认证方法及系统 | |
| CN102868702B (zh) | 系统登录装置和系统登录方法 | |
| CN100493247C (zh) | 高速分组数据网中接入认证方法 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN105187431A (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| CN103905194B (zh) | 身份溯源认证方法及系统 | |
| CN106162641B (zh) | 一种安全公众WiFi认证方法及系统 | |
| CN102299930A (zh) | 一种保障客户端软件安全的方法 | |
| CN103067402A (zh) | 数字证书的生成方法和系统 | |
| CN101401465A (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
| CN103905401A (zh) | 一种身份认证方法和设备 | |
| CN103974248A (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| CN102984335B (zh) | 拨打固定电话的身份认证方法、设备和系统 | |
| CN104717063A (zh) | 移动终端的软件安全防护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |