CN103873454A - 一种认证方法及设备 - Google Patents
一种认证方法及设备 Download PDFInfo
- Publication number
- CN103873454A CN103873454A CN201210551531.0A CN201210551531A CN103873454A CN 103873454 A CN103873454 A CN 103873454A CN 201210551531 A CN201210551531 A CN 201210551531A CN 103873454 A CN103873454 A CN 103873454A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- mac address
- key
- account
- subscriber number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
一种认证方法及设备,主要内容包括:当用户终端接入无线局域网WLAN时,认证设备确定其介质访问控制MAC地址;获取用户终端保存的密文,并根据保存的MAC地址与用户号码和密钥的对应关系,查找与该MAC地址对应的用户号码和密钥;对所述密文进行解密,并在解密后的明文与查找到的用户号码相同时,将该用户终端的账号和密码发送给认证中心。由于一方面存储MAC地址与账号和密码的对应关系,使实现WLAN自动认证成为可能;另一方面在对获取的密钥进行解密后与本地保存的用户号码一致时,将与所述MAC地址对应的账号和密码发给认证中心进行认证,因此,在实现自动认证的同时提高了用户登录WLAN的安全性。
Description
技术领域
本发明涉及通信领域,尤其涉及一种认证方法及设备。
背景技术
随着个人数据通信的发展,功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。为了实现使用户能够在任何时间、任何地点均能实现数据通信的目标,要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展,由此无线局域网(Wireless Local Area Network,WLAN)技术得到了快速的发展。近几年运营商都在大力发展WLAN业务,随着WLAN的优化与资费的降低,使用WLAN业务的客户越来越多,这就要求运营商要给客户要提供便捷、安全的使用方法。如何为日益增加的智能手机用户提供便捷的WLAN上网功能,在改善用户使用感知的同时更好的分流2G/3G网络压力,是所有运营商面临的一个问题。
现有对登录WLAN进行认证的方式有两种,分别为:用户识别模块(Subscriber Identify Module,SIM)认证和WEB认证,SIM认证需要用户终端有SIM卡(例如手机,WLAN无线上网卡等),通过SIM卡进行网络认证;WEB认证方式不需要SIM卡,用户终端(个人电脑、智能手机、平板电脑等)登录WLAN的时候需要使用帐号(手机号或者WLAN卡号)和密码进行认证,认证通过后用户就可以使用WLAN。
由于WEB认证不需要SIM卡,只要用户终端有无线保真(Wireless FidelityWIFI)模块就可以,因此现在大部分用户都是通过WEB认证方式登录网络。但由于传统的WEB认证过程繁琐,每次均要输入用户名密码,影响了用户的体验与兴趣。最近几年WLAN自动认证的技术发展比较迅速,现有WLAN自动认证主要有以下两种方式:
第一种是介质访问控制(Media Access Control,MAC)地址绑定认证方式。主要实现原理是在现有的WLAN认证系统中新增比对模块,保存用户的MAC地址与用户的账号和密码的对应关系,用户后续上网时,比对模块将根据用户的MAC地址找到用户的帐号和密码,并将用户的帐号和密码发送给认证服务器,完成后续的认证过程。
第二种是储存在用户终端上的数据编辑本义项COOKIE认证方式。主要实现原理是在用户首次登录的时WLAN服务器将用户的帐号和密码写入用户终端的上行COOKIE中,这样用户在下次登录的时候,用户终端可以通过超文本传输协议(Hyper Text Transfer Protocol,HTTP)协议将用户的上行COOKIE发送给认证服务器,认证服务器通过读取COOKIE里面的内容就可以获取用户的帐号和密码,完成后续的认证过程。
上述MAC地址绑定认证方式和COOKIE认证方式由于实现了用户的自动登录,并且用户没有感知,因而用户体验较好。然而,MAC地址存在仿冒、山寨、重复等问题,如果MAC地址被非法用户获得,非法用户就会通过软件修改自身用户终端的MAC地址,就会轻易通过认证服务器的认证,使得合法用户登录WLAN的安全性降低。COOKIE认证也存在问题,第一需要用户设置是否允许该网站在本机上保存Cookie,如果用户IE浏览器设置里面选择了“不允许该站点使用Cookies”,WLAN服务器就无法将帐号和密码写入用户终端的COOKIE中,并且IE浏览器里面也可以设置用户退出登录后自动删除用户终端的COOKIE;第二用户的COOKI信息非常容易的被网上在线获取,一旦被非法用户获取,非法用户就可使用获取的合法用户的账号和密码进行认证,因此也存在合法用户登录WLAN的安全性降低的问题。
发明内容
本发明实施例提供一种认证方法及设备,以提高合法用户登录WLAN的安全性。
一种认证方法,所述方法包括:
当用户终端接入WLAN时,认证设备确定所述用户终端的MAC地址;
认证设备获取所述用户终端保存的密文,并根据预先保存的MAC地址与用户号码和密钥的对应关系,查找与确定的所述用户终端的MAC地址对应的用户号码和密钥,所述密文是认证设备在用户终端上次接入WLAN时,利用设定的加密算法和与该用户终端的MAC地址对应的密钥对该用户终端的用户号码进行加密得到并发送给该用户终端的;
认证设备利用设定的解密算法和查找到的所述密钥,对获取的所述密文进行解密,并将解密后得到的明文与查找到的所述用户号码进行比较,得到比较结果;
认证设备在比较结果为相同时,将该用户终端的账号和密码发送给认证中心,所述账号和密码是根据MAC地址与账号和密码的对应关系确定的。
一种认证设备,所述认证设备包括:
MAC地址确定模块,用于当用户终端接入WLAN时,确定所述用户终端的MAC地址;
密文获取模块,用于获取所述用户终端保存的密文,所述密文是在用户终端上次接入WLAN时,利用设定的加密算法和与该用户终端的MAC地址对应的密钥对该用户终端的用户号码进行加密得到并发送给该用户终端的;
对应关系保存模块,用于保存MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系;
查找模块,用于根据对应关系保存模块预先保存的MAC地址与用户号码和密钥的对应关系,查找与获取的所述用户终端的MAC地址对应的用户号码和密钥;
解密模块,用于利用设定的解密算法和查找到的所述密钥,对获取的所述密文进行解密;
比较模块,用于将解密后得到的明文与查找到的所述用户号码进行比较,得到比较结果;
发送模块,用于在比较结果为相同时,将该用户终端的账号和密码发送给认证中心,所述账号和密码是根据MAC地址与账号和密码的对应关系确定的。
在本发明实施例的方案中,由于认证设备一方面存储MAC地址与用户终端的账号和密码的对应关系,使得实现WLAN自动认证成为可能,另一方面将从终端设备获取的密钥进行解密并与本地保存的用户号码进行比较,在比较结果相同时,将本地保存的与所述MAC地址对应的账号和密码发给认证中心进行认证,因此,在实现WLAN自动认证提高用户使用WLAN上网的体验的同时,也提高了用户登录WLAN的安全性。
附图说明
图1为本发明实施例一中的认证方法流程图;
图2为本发明实施例一中的WLAN组网结构示意图;
图3为本发明实施例二中的认证方法流程图;
图4为本发明实施例二中的认证方法流程图;
图5为本发明实施例三中的认证设备结构示意图。
具体实施方式
下面结合具体实施例详细描述本发明方案。
实施例一
如图1所示,为本发明实施例一中的认证方法流程图,所述方法包括以下步骤:
步骤101:当用户终端接入WLAN时,认证设备确定所述用户终端的MAC地址。
所述MAC是可以从用户终端发送的携带了MAC地址的HTTP请求中获得的。
步骤102:认证设备判断与该MAC地址对应的账号是否已经被登录,若否,则执行步骤103,若是,则执行步骤104。
需要说明的是,本步骤102是优选步骤,目的是为了防止同一账号重复登录,在同一账号重复登录时,可能之前登录的用户是非法用户,也可能步骤101中登录的用户是非法用户,下面的步骤104、步骤106、以及步骤108即是对利用与该MAC地址对应的账号进行登录的用户是否为合法用户的查验。
步骤104:认证设备将预先保存的所述用户终端的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系删除,并执行步骤106。
步骤106:认证设备将WEB认证页面发送给该用户终端,并执行步骤108。
步骤108:认证设备接收认证中心发送的该用户终端是否通过认证的消息,并执行步骤110。
步骤110:在该用户终端通过WEB认证时,认证设备强制之前使用与该MAC地址对应的账号进行登录的用户终端下线。
步骤103:认证设备获取所述用户终端保存的密文,并执行步骤105。
所述密文是认证设备在用户终端上次接入WLAN时,利用设定的加密算法和与该用户终端的MAC地址对应的密钥对该用户终端的用户号码进行加密得到并发送给该用户终端的。
步骤105:认证设备根据预先保存的MAC地址与用户号码和密钥的对应关系,查找与确定的所述用户终端的MAC地址对应的用户号码和密钥,并执行步骤107。
上述步骤103和步骤105的执行顺序可以互换,也即可以先执行步骤105,再执行步骤103然后再执行步骤107;步骤103和步骤105也可以同时执行,执行完步骤103和步骤105之后再执行步骤107,这里不对此进行限定。
较优的,所述用户号码为用户的手机号码,这是因为现有的WLAN网络及其他各计费系统,均采用手机号码对使用WLAN业务进行计费,使用手机号码方便对用户在后续通过认证中心的认证后使用WLAN业务进行计费。
当然,本发明实施例也不限于其他能用于计费的用户号码。
步骤107:认证设备利用设定的解密算法和查找到的所述密钥,对获取的所述密文进行解密,并执行步骤109;
步骤109:将解密后得到的明文与查找到的所述用户号码进行比较,得到比较结果,在比较结果为相同时,执行步骤111,在比较结果为不同时,执行步骤112。
步骤111:将该用户终端的账号和密码发送给认证中心,并执行步骤113。
步骤113:认证设备更新并保存与该用户终端的MAC地址对应的密钥,并执行步骤115。
步骤115:认证设备利用更新后的密钥对查找到的所述用户号码进行加密,得到该用户终端本次接入WLAN的密文,并执行步骤116。
步骤116:认证设备将本次得到的密文发送给该用户终端,指示该用户终端利用接收到的密文对保存的密文进行更新。
需要说明的是上述步骤113、步骤115、步骤116是本发明实施例一的优选步骤,目的是通过密钥的更新,实现用户终端的密文的动态更新,由于用户终端每次登录后均会对其本地保存的密文进行更新,即使非法用户某次使用合法用户的账号登录了WLAN网络,但其由于不能获得认证设备发送的密文,无法通过认证设备的验证,因此,无法继续使用合法用户的账号进行登录,进一步提高合法用户登录WLAN网络的安全性。
步骤112:认证设备将预先保存的所述用户终端的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系删除,并执行步骤114:
步骤114:认证设备将WEB认证页面发送给该用户终端。
上述步骤112和步骤114也是本发明实施例一的优选步骤,在将解密后得到的明文与查找到的所述用户号码进行比较,比较结果为不相同时,说明该用户可能是非法用户,即将该对应关系删除,并走普通的WEB认证流程,即用户终端推送WEB认证页面,通过该WEB认证页面,用户终端可以输入账号和密码。
较优的,在上述步骤104及步骤105中涉及的预先保存的所述用户终端的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系删除,是通过以下步骤获得的:
第一步:用户终端首次接入WLAN时,认证设备接收所述用户终端发送的账号和密码;
第二步:认证设备根据本地保存的账号和用户号码的对应关系,确定接收到的账号所对应的用户号码;
第三步:认证设备为获取的所述用户终端的MAC地址设置一个密钥,并根据该MAC地址、为该MAC地址设置的密钥、接收到的账号和密码和确定的用户号码,建立所述MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系。
需要说明的是,在用户终端可以在办理WLAN上网业务时,设置是否选择将MAC与登录WLAN的账号和密码进行绑定时,上述第一步、第二步及第三步可以均是在用户终端选择了将其MAC地址与账号和密码进行绑定(即MAC绑定)的基础上进行的。
较优的,在用户终端接入WLAN网络时设定MAC地址与用户终端的账号、密码、用户号码和密钥的对应关系的有效时长时,所述上述认证方法还包括:
认证设备接收用户终端在接入WLAN时设定的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系的有效时长;
当保存的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系存在的时长超过有效时长时,删除该对应关系。
当然,本发明实施例一也可以在认证设备内设置默认的有效时长,并在当保存的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系存在的时长超过有效时长时,认证设备删除该对应关系。
通过本发明实施例一的方案,首先对MAC所对应的账号是否重复登录进行了判断,其次,对从用户终端获得的密文进行解密后的明文与本地保存的用户号码进行比较,再次,对用户终端的密文进行更新,实现了从多个关卡对非法用户的检验,在实现用户终端利用MAC绑定来自动登录的同时,较大程度上提高了合法用户登录WLAN网络的安全性。
下面通过实施例二及实施例三并结合如图2所示WLAN网络的实际组网结构对本发明实施例一的方案进行更为具体的描述,其中,实施例二中是针对用户终端首次接入WLAN时,对本发明实施例一的方案的更为具体的描述;实施例三是针对用户终端非首次接入WLAN时,对本发明实施例一的方案的更为具体的描述,并且在实施例二和实施例三中,Portal服务器具有本发明实施例的认证设备的功能。
实施例二
首先对图2所示的WLAN的组网架构进行介绍,图2中包括:用户终端、无线接入点(Access Point,AP)、无线控制器(Access Controller,AC)、交换机、门户(Portal)服务器、认证授权记账(Authentication、Authorization、Accounting,AAA)服务器、宽带远程接入(Broadband Remote Access Server,BRAS)服务器、动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)服务器。
在图2所示的WLAN组网架构的基础上,本发明实施例二中的认证方法的流程图,如图3所示,具体包括以下步骤:
步骤201:用户终端(个人电脑、智能手机、平板电脑等)发起登录请求,与AC关联后,获得登录的IP地址后,并向AC发送HTTP请求,所述HTTP请求中携带了该用户终端的MAC地址。
本步骤201中,用户终端首先向AP发起登录请求,AP又将该登录请求发送至管理自身的AC,AC与DHCP服务器进行交互,DHCP服务器将为终端设备分配IP地址。
步骤202:AC将HTTP请求重定向到Portal服务器。
步骤203:Portal服务器判断当前MAC地址对应的账户是否已经有登录,如果有登录说明是重复MAC地址登录,需要用户终端重新输入帐号和密码进行认证,并执行步骤205,如果没有登录,则执行步骤204。
步骤204:Portal服务器根据所述MAC地址查找已有记录MAC地址绑定数据库,判断该用户终端是否为MAC地址绑定用户终端,若是,则执行步骤205;若否,则向该用户终端推送WEB认证页面,也即进入普通的WEB页面认证方式。
步骤205:给用户终端返回登录页面(也即WEB认证页面),并提示输入帐号和密码进行认证,并执行步骤206。
步骤206:Portal服务器获取来自用户终端的账号和密码,并执行步骤207。
步骤207:Portal服务器将用户终端的帐号和密码信息传给BRAS,由BRAS向AAA服务器发起认证,并执行步骤208。
步骤208:BRAS携带账号、密码向AAA服务器发起radius认证请求,并执行步骤209。
步骤209:AAA服务器进行用户数据的鉴权,并将鉴权结果回复给BRAS,并执行步骤210。
步骤210:BRAS获取AAA服务器的认证结果,并将认证结果传递给Portal服务器。Portal服务器同时请用户终端选择是否进行MAC地址绑定以及MAC地址绑定的时间长度(可选择1-31天,1-12个月,1-2年),并执行步骤211。
步骤211:Portal服务器在认证结果为认证不通过时,向用户终端返回登录失败页面,Portal服务器在认证结果为认证通过时,若该MAC地址对应的账号是重复登录,则判定之前登录的用户终端为非法用户终端,强制其下线,并判断步骤201中的用户终端是否选择MAC地址绑定,若是,执行步骤212,若否,直接返回登录成功页面。
步骤212:PORTAL服务器调用随机函数,得到本次加密数据的密钥,使用密钥将用户的手机号码作为数据通过数据加密标准(Data EncryptionStandard,DES)DES加密算法进行加密,生成密文。PORTAL同时将MAC地址、用户号码、密钥、用户帐号、密码,终端绑定生效时间,终端绑定失效时间进行保存,并执行步骤213。
数据库中数据的存放结构如下表(1)所示:
表(1)
上述表(1)中所示的存放结构即可用于存储MAC地址和密钥、用户号码、账号、密码、MAC地址绑定生效时间和MAC地址绑定失效时间的对应关系,将MAC地址绑定失效时间与MAC地址绑定生效时间得到该对应关系的有效时长。
Portal服务器的加密算法如下:
利用密钥获得函数KEY=rand(日期)获得密钥,其中KEY表示密钥,rand表示随机函数,利用KEY=rand(日期)关系式即可得到一个随机数字,将此随机数字进行转换,转换成一个8字节的数据,这个数据就可作为加密的密钥。
利用加解密函数:SR=DES(DATA,KEY,flag)获得密文或明文,其中,SR为密文或明文,DATA为用户的手机号码;KEY就是上一步获取的密钥;flag取1表示加密,0表示解密。
当然,本发明实施例并不局限于使用DES加解密算法,也可以使用其他加密算法。
步骤213:Portal服务器把密文写到用户终指定目录的指定文件里面,作为用户下次自动登录的数字证书文件,并给用户返回登录成功页面,完成认证过程。
实施例三
如图4所示,为本发明实施例三中的认证方法的流程图,具体包括以下步骤:
步骤301:用户终端(个人电脑、智能手机、平板电脑等)发起登录请求,与AC关联后,获得登录的IP地址后,并向AC发送HTTP请求,所述HTTP请求中携带了该用户终端的MAC地址。
步骤302:AC将HTTP请求重定向到门户(Portal)服务器。
步骤303:Portal服务器判断当前MAC地址对应的账户是否已经有登录,如果有登录说明是重复MAC地址登录,需要用户终端重新输入帐号和密码进行认证,并执行实施例二中的步骤204,如果没有登录,则执行步骤304。
步骤304:Portal服务器根据所述MAC地址查找已有记录MAC地址绑定数据库,判断该用户终端是否为MAC地址绑定用户终端,若是,则执行步骤305;若否,则执行实施例二中的步骤205。
步骤305:Portal服务器会从用户终端指定目录下,读取指定数字证书文件中里面的密文,若读取成功,则执行步骤306,若读取失败,则执行实施例二中的步骤205。
步骤306:Portal服务器根据保存的MAC地址与密钥的对应关系,获取该用户终端的MAC地址对应的密钥和用户号码,将其作为本次解密的密钥,并调用DES解密算法,将从用户终端获取的密文解密成明文,然后将明文跟用户号码进行比较,如果比较结果为相同,则执行步骤307,若匹配失败,则向用户终端返回登录失败页面,同时删除Portal服务器中保存的该MAC地址与密钥的对应关系。
其中,DES解密算法如下:
明文=DES(密文,KEY,0):根据用户数字文件里面的密文,获得的密钥,调用DES解密程序,获得明文。
比较结果=Diff(明文,用户号码),其中Diff为比较函数。
步骤307:Portal服务器将该用户终端的帐号、密码信息传给BRAS,由BRAS向AAA服务器发起认证,并执行步骤308。
步骤308:BRAS携带用户名、密码向AAA服务器发起远程用户拨号认证系统(Remote Authentication Dial In User Service,radius)认证请求,并执行步骤309。
步骤309:AAA服务器进行用户数据的鉴权,并将鉴权结果回复给BRAS,并执行步骤310。
步骤310:BRAS获取AAA的认证结果,并将认证结果传递给PORTAL服务器,并执行步骤311。
步骤311:Portal服务器在认证结果为认证不通过时,向用户终端返回登录失败页面,Portal服务器在认证结果为认证通过时,若该MAC地址对应的账号是重复登录,则判定之前登录的用户终端为非法用户终端,强制其下线,并调用随机函数,得到新的用户数字认证证书加密的密钥,使用新密钥将用户号码作为数据通过DES加密算法进行加密,生成新的密文,并执行步骤312。
Portal服务器同时更新数据库中对应MAC地址的密钥。加密算法如下:
KEY=rand(日期)。KEY得到一个随机数字后,进行转换,转换成一个8字节的数据,这个数据就作为加密的密钥。
密文=DES(DATA,KEY,1)。DATA=用户号码,KEY就是所述得到的新的用户数字认证证书加密的密钥。
步骤312:Portal服务器把密文写到用户终指定目录的指定文件里面,作为用户下次自动登录的数字证书文件,然后给用户返回登录成功页面,完成认证过程。
实施例四
与本发明实施例一、实施例二及实施例三的同一构思下,本发明实施例四提出一种认证设备,其结构示意图如图5所示,包括:MAC地址确定模块101、密文获取模块102、对应关系保存模块103和查找模块104、解密模块105、比较模块106和发送模块107,其中:
MAC地址确定模块101,用于当用户终端接入WLAN时,确定所述用户终端的MAC地址;
密文获取模块102,用于获取所述用户终端保存的密文,所述密文是认证设备在用户终端上次接入WLAN时,利用设定的加密算法和与该用户终端的MAC地址对应的密钥对该用户终端的用户号码进行加密得到并发送给该用户终端的;
对应关系保存模块103,用于保存MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系;
查找模块104,用于根据对应关系保存模块预先保存的MAC地址与用户号码和密钥的对应关系,查找与获取的所述用户终端的MAC地址对应的用户号码和密钥;
解密模块105,用于利用设定的解密算法和查找到的所述密钥,对获取的所述密文进行解密;
比较模块106,用于将解密后得到的明文与查找到的所述用户号码进行比较,得到比较结果;
发送模块107,用于在比较结果为相同时,将该用户终端的账号和密码发送给认证中心,所述账号和密码是根据MAC地址与账号和密码的对应关系确定的。
较优的,所述认证设备还包括:
密钥更新模块108,用于更新该用户终端的MAC地址对应的密钥;
所述对应关系保存模块103,还用于利用更新后的密钥对保存的MAC地址与用户号码和密钥的对应关系进行更新;
加密模块109,用于利用更新后的密钥对查找模块查找到的所述用户号码进行加密,得到该用户终端本次接入WLAN的密文;
所述发送模块107,还用于将本次得到的密文发送给该用户终端,并指示该用户终端利用接收到的密文对保存的密文进行更新。
较优的,所述认证设备还包括:
判断模块110,用于判断与该MAC地址对应的账号是否已经被登录;
所述密文获取模块102,具体用于在判断模块的判断结果为否时,获取所述用户终端保存的密文。
较优的,所述对应关系保存模块103,还用于在判断模块110的判断结果为是时,将预先保存的所述用户终端的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系删除;
所述发送模块107,还用于在判断模块106的判断结果为是时将WEB认证页面发送给该用户终端;
所述认证设备还包括:
接收模块112,用于接收该用户终端是否通过WEB认证的消息;
强制下线模块111,用于在该用户终端通过WEB认证时,强制之前使用与该MAC地址对应的账号进行登录的用户终端下线。
较优的,所述对应关系保存模块103,还用于在比较结果为不相同时,将预先保存的所述用户终端的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系删除;
所述发送模块107,还用于在比较模块的比较结果为不相同时将WEB认证页面发送给该用户终端。
较优的,所述认证设备还包括:
接收模块112,用于在所述用户终端首次接入WLAN时,接收所述用户终端发送的账号和密码;
用户号码确定模块113,用于根据本地保存的账号和用户号码的对应关系,确定接收到的账号所对应的用户号码;
所述对应关系保存模块103,还用于为获取的所述用户终端的MAC地址设置一个密钥,并根据该MAC地址、为该MAC地址设置的密钥、接收到的账号和密码和确定的用户号码,建立所述MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系。
较优的,所述接收模块112,还用于接收用户终端在接入WLAN时设定的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系的有效时长;
所述对应关系保存模块103,还用于当保存的所述MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系存在的时长超过有效时长时,删除该对应关系。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (14)
1.一种认证方法,其特征在于,所述方法包括:
当用户终端接入无线局域网络WLAN时,认证设备确定所述用户终端的介质访问控制MAC地址;
认证设备获取所述用户终端保存的密文,并根据预先保存的MAC地址与用户号码和密钥的对应关系,查找与确定的所述用户终端的MAC地址对应的用户号码和密钥,所述密文是认证设备在用户终端上次接入WLAN时,利用设定的加密算法和与该用户终端的MAC地址对应的密钥对该用户终端的用户号码进行加密得到并发送给该用户终端的;
认证设备利用设定的解密算法和查找到的所述密钥,对获取的所述密文进行解密,并将解密后得到的明文与查找到的所述用户号码进行比较,得到比较结果;
认证设备在比较结果为相同时,将该用户终端的账号和密码发送给认证中心,所述账号和密码是根据MAC地址与账号和密码的对应关系确定的。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:认证设备在比较结果为相同时,将该用户终端的账号和密码发送给认证中心之后,所述方法还包括:
认证设备更新并保存与该用户终端的MAC地址对应的密钥;
认证设备利用更新后的密钥对查找到的所述用户号码进行加密,得到该用户终端本次接入WLAN的密文;
认证设备将本次得到的密文发送给该用户终端,指示该用户终端利用接收到的密文对保存的密文进行更新。
3.如权利要求1所述的方法,其特征在于,在认证设备确定所述用户终端的MAC地址之后,认证设备获取所述用户终端保存的密文之前,所述方法还包括:
认证设备判断与该MAC地址对应的账号是否已经被登录;
所述认证设备获取所述用户终端保存的密文具体为:
在该MAC地址对应的账号未被登录时,认证设备获取所述用户终端保存的密文。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
在该MAC地址对应的账号已被登录时,认证设备将预先保存的所述用户终端的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系删除;
认证设备将WEB认证页面发送给该用户终端;
在该用户终端通过WEB认证时,认证设备强制之前使用与该MAC地址对应的账号进行登录的用户终端下线。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:认证设备在比较结果为不相同时,将预先保存的所述用户终端的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系删除,并将WEB认证页面发送给该用户终端。
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
在所述用户终端首次接入WLAN时,认证设备接收所述用户终端发送的账号和密码;
认证设备根据本地保存的账号和用户号码的对应关系,确定接收到的账号所对应的用户号码;
认证设备为获取的所述用户终端的MAC地址设置一个密钥,并根据该MAC地址、为该MAC地址设置的密钥、接收到的账号和密码和确定的用户号码,建立所述MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
认证设备接收用户终端在接入WLAN时设定的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系的有效时长;
当保存的所述MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系存在的时长超过有效时长时,认证设备删除该对应关系。
8.一种认证设备,其特征在于,所述认证设备包括:
介质访问控制MAC地址确定模块,用于当用户终端接入无线局域网络WLAN时,确定所述用户终端的介质访问控制MAC地址;
密文获取模块,用于获取所述用户终端保存的密文,所述密文是在用户终端上次接入WLAN时,利用设定的加密算法和与该用户终端的MAC地址对应的密钥对该用户终端的用户号码进行加密得到并发送给该用户终端的;
对应关系保存模块,用于保存MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系;
查找模块,用于根据对应关系保存模块预先保存的MAC地址与用户号码和密钥的对应关系,查找与获取的所述用户终端的MAC地址对应的用户号码和密钥;
解密模块,用于利用设定的解密算法和查找到的所述密钥,对获取的所述密文进行解密;
比较模块,用于将解密后得到的明文与查找到的所述用户号码进行比较,得到比较结果;
发送模块,用于在比较结果为相同时,将该用户终端的账号和密码发送给认证中心,所述账号和密码是根据MAC地址与账号和密码的对应关系确定的。
9.如权利要求8所述的认证设备,其特征在于,所述认证设备还包括:
密钥更新模块,用于更新该用户终端的MAC地址对应的密钥;
所述对应关系保存模块,还用于利用更新后的密钥对保存的MAC地址与用户号码和密钥的对应关系进行更新;
加密模块,用于利用更新后的密钥对查找模块查找到的所述用户号码进行加密,得到该用户终端本次接入WLAN的密文;
所述发送模块,还用于将本次得到的密文发送给该用户终端,并指示该用户终端利用接收到的密文对保存的密文进行更新。
10.如权利要求8所述的认证设备,其特征在于,所述认证设备还包括:
判断模块,用于判断与该MAC地址对应的账号是否已经被登录;
所述密文获取模块,具体用于在判断模块的判断结果为否时,获取所述用户终端保存的密文。
11.如权利要求10所述的认证设备,其特征在于,
所述对应关系保存模块,还用于在判断模块的判断结果为是时,将预先保存的所述用户终端的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系删除;
所述发送模块,还用于在判断模块的判断结果为是时将WEB认证页面发送给该用户终端;
所述认证设备还包括:
接收模块,用于接收该用户终端是否通过WEB认证的消息;
强制下线模块,用于在该用户终端通过WEB认证时,强制之前使用与该MAC地址对应的账号进行登录的用户终端下线。
12.如权利要求8所述的认证设备,其特征在于,
所述对应关系保存模块,还用于在比较结果为不相同时,将预先保存的所述用户终端的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系删除;
所述发送模块,还用于在比较模块的比较结果为不相同时将WEB认证页面发送给该用户终端。
13.如权利要求8所述的认证设备,其特征在于,所述认证设备还包括:
接收模块,用于在所述用户终端首次接入WLAN时,接收所述用户终端发送的账号和密码;
用户号码确定模块,用于根据本地保存的账号和用户号码的对应关系,确定接收到的账号所对应的用户号码;
所述对应关系保存模块,还用于为获取的所述用户终端的MAC地址设置一个密钥,并根据该MAC地址、为该MAC地址设置的密钥、接收到的账号和密码和确定的用户号码,建立所述MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系。
14.如权利要求13所述的认证设备,其特征在于,
所述接收模块,还用于接收用户终端在接入WLAN时设定的MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系的有效时长;
所述对应关系保存模块,还用于当保存的所述MAC地址与用户号码和密钥以及MAC地址与账号和密码的对应关系存在的时长超过有效时长时,删除该对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210551531.0A CN103873454B (zh) | 2012-12-18 | 2012-12-18 | 一种认证方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210551531.0A CN103873454B (zh) | 2012-12-18 | 2012-12-18 | 一种认证方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103873454A true CN103873454A (zh) | 2014-06-18 |
| CN103873454B CN103873454B (zh) | 2017-02-08 |
Family
ID=50911583
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210551531.0A Active CN103873454B (zh) | 2012-12-18 | 2012-12-18 | 一种认证方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103873454B (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104837136A (zh) * | 2015-04-14 | 2015-08-12 | 深圳市信锐网科技术有限公司 | 无线接入认证方法和装置 |
| CN104853349A (zh) * | 2014-08-06 | 2015-08-19 | 北京初联科技有限公司 | 无线局域网络设备的认证方法及终端 |
| CN104869612A (zh) * | 2015-04-30 | 2015-08-26 | 小米科技有限责任公司 | 接入网络的方法及装置 |
| CN105208560A (zh) * | 2015-09-15 | 2015-12-30 | 新浪网技术(中国)有限公司 | 一种WiFi免认证登陆方法、装置及系统 |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用系统的单点登录方法及装置 |
| CN105959940A (zh) * | 2016-04-21 | 2016-09-21 | 林碧琴 | 一种动车上提供wifi的方法 |
| WO2016173536A1 (en) * | 2015-04-30 | 2016-11-03 | Hangzhou H3C Technologies Co., Ltd. | Wireless access authentication |
| CN106559785A (zh) * | 2015-09-30 | 2017-04-05 | 中国电信股份有限公司 | 认证方法、设备和系统以及接入设备和终端 |
| CN106572077A (zh) * | 2016-10-09 | 2017-04-19 | 京信通信技术(广州)有限公司 | 一种门户认证方法及装置 |
| US9693296B2 (en) | 2014-07-17 | 2017-06-27 | Xiaomi Inc. | Network connection method and apparatus |
| CN107735788A (zh) * | 2015-06-08 | 2018-02-23 | 微软技术许可有限责任公司 | 自动供应设备以访问帐户 |
| CN107846391A (zh) * | 2016-09-21 | 2018-03-27 | 阿里巴巴集团控股有限公司 | 应用的登录认证方法及装置、系统 |
| CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
| CN108282551A (zh) * | 2018-03-07 | 2018-07-13 | 成都众网行科技有限公司 | 报文识别处理方法、装置、监听设备及可读存储介质 |
| CN108833411A (zh) * | 2018-06-20 | 2018-11-16 | 上海市共进通信技术有限公司 | 应对voip注册劫持的方法 |
| CN109063969A (zh) * | 2014-07-09 | 2018-12-21 | 阿里巴巴集团控股有限公司 | 一种账户风险评估的方法及装置 |
| US10470102B2 (en) | 2016-02-17 | 2019-11-05 | Zitovault, Inc. | MAC address-bound WLAN password |
| CN112417432A (zh) * | 2020-11-25 | 2021-02-26 | 北京奇艺世纪科技有限公司 | 数据转换方法、验证方法、装置、电子设备和存储介质 |
| CN112491838A (zh) * | 2020-11-17 | 2021-03-12 | 北京航空航天大学杭州创新研究院 | 工业互联网安全发送报文的方法和系统 |
| CN112737825A (zh) * | 2020-12-23 | 2021-04-30 | 携程旅游信息技术(上海)有限公司 | 基于日志的网络设备关联方法、系统、设备及存储介质 |
| CN113364575A (zh) * | 2021-04-04 | 2021-09-07 | 黑龙江头雁科技有限公司 | 一种基于SM算法的Portal认证方法 |
| CN117478326A (zh) * | 2023-12-28 | 2024-01-30 | 深圳万物安全科技有限公司 | 密钥托管方法、装置、终端设备以及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335626A (zh) * | 2008-08-06 | 2008-12-31 | 中国网通集团宽带业务应用国家工程实验室有限公司 | 多级认证方法和多级认证系统 |
| CN101453409A (zh) * | 2007-12-07 | 2009-06-10 | 中国移动通信集团公司 | 支持终端混合接入的信息广播方法及其装置和系统 |
| US20100082734A1 (en) * | 2007-12-04 | 2010-04-01 | Elcock David | Establishing A Thin Client Terminal Services Session |
| CN102404314A (zh) * | 2010-09-30 | 2012-04-04 | 微软公司 | 远程资源单点登录 |
-
2012
- 2012-12-18 CN CN201210551531.0A patent/CN103873454B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100082734A1 (en) * | 2007-12-04 | 2010-04-01 | Elcock David | Establishing A Thin Client Terminal Services Session |
| CN101453409A (zh) * | 2007-12-07 | 2009-06-10 | 中国移动通信集团公司 | 支持终端混合接入的信息广播方法及其装置和系统 |
| CN101335626A (zh) * | 2008-08-06 | 2008-12-31 | 中国网通集团宽带业务应用国家工程实验室有限公司 | 多级认证方法和多级认证系统 |
| CN102404314A (zh) * | 2010-09-30 | 2012-04-04 | 微软公司 | 远程资源单点登录 |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109063969A (zh) * | 2014-07-09 | 2018-12-21 | 阿里巴巴集团控股有限公司 | 一种账户风险评估的方法及装置 |
| CN109063969B (zh) * | 2014-07-09 | 2022-02-01 | 创新先进技术有限公司 | 一种账户风险评估的方法及装置 |
| US9693296B2 (en) | 2014-07-17 | 2017-06-27 | Xiaomi Inc. | Network connection method and apparatus |
| CN104853349B (zh) * | 2014-08-06 | 2018-09-25 | 北京初联科技有限公司 | 无线局域网络设备的认证方法及终端 |
| CN104853349A (zh) * | 2014-08-06 | 2015-08-19 | 北京初联科技有限公司 | 无线局域网络设备的认证方法及终端 |
| CN104837136B (zh) * | 2015-04-14 | 2019-06-21 | 深圳市信锐网科技术有限公司 | 无线接入认证方法和装置 |
| CN104837136A (zh) * | 2015-04-14 | 2015-08-12 | 深圳市信锐网科技术有限公司 | 无线接入认证方法和装置 |
| CN104869612A (zh) * | 2015-04-30 | 2015-08-26 | 小米科技有限责任公司 | 接入网络的方法及装置 |
| US10397782B2 (en) | 2015-04-30 | 2019-08-27 | Hewlett Packard Enterprise Development Lp | Wireless access authentication |
| WO2016173536A1 (en) * | 2015-04-30 | 2016-11-03 | Hangzhou H3C Technologies Co., Ltd. | Wireless access authentication |
| CN107735788A (zh) * | 2015-06-08 | 2018-02-23 | 微软技术许可有限责任公司 | 自动供应设备以访问帐户 |
| CN107735788B (zh) * | 2015-06-08 | 2021-06-29 | 微软技术许可有限责任公司 | 自动供应设备以访问帐户 |
| CN105208560A (zh) * | 2015-09-15 | 2015-12-30 | 新浪网技术(中国)有限公司 | 一种WiFi免认证登陆方法、装置及系统 |
| CN106559785A (zh) * | 2015-09-30 | 2017-04-05 | 中国电信股份有限公司 | 认证方法、设备和系统以及接入设备和终端 |
| CN106559785B (zh) * | 2015-09-30 | 2020-02-14 | 中国电信股份有限公司 | 认证方法、设备和系统以及接入设备和终端 |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用系统的单点登录方法及装置 |
| US10470102B2 (en) | 2016-02-17 | 2019-11-05 | Zitovault, Inc. | MAC address-bound WLAN password |
| CN105959940A (zh) * | 2016-04-21 | 2016-09-21 | 林碧琴 | 一种动车上提供wifi的方法 |
| CN107846391A (zh) * | 2016-09-21 | 2018-03-27 | 阿里巴巴集团控股有限公司 | 应用的登录认证方法及装置、系统 |
| CN107846391B (zh) * | 2016-09-21 | 2021-06-22 | 阿里巴巴集团控股有限公司 | 应用的登录认证方法及装置、系统 |
| CN107872421B (zh) * | 2016-09-23 | 2021-04-20 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
| CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
| CN106572077B (zh) * | 2016-10-09 | 2019-09-17 | 京信通信系统(中国)有限公司 | 一种门户认证方法及装置 |
| CN106572077A (zh) * | 2016-10-09 | 2017-04-19 | 京信通信技术(广州)有限公司 | 一种门户认证方法及装置 |
| CN108282551A (zh) * | 2018-03-07 | 2018-07-13 | 成都众网行科技有限公司 | 报文识别处理方法、装置、监听设备及可读存储介质 |
| CN108833411A (zh) * | 2018-06-20 | 2018-11-16 | 上海市共进通信技术有限公司 | 应对voip注册劫持的方法 |
| CN112491838A (zh) * | 2020-11-17 | 2021-03-12 | 北京航空航天大学杭州创新研究院 | 工业互联网安全发送报文的方法和系统 |
| CN112417432A (zh) * | 2020-11-25 | 2021-02-26 | 北京奇艺世纪科技有限公司 | 数据转换方法、验证方法、装置、电子设备和存储介质 |
| CN112737825A (zh) * | 2020-12-23 | 2021-04-30 | 携程旅游信息技术(上海)有限公司 | 基于日志的网络设备关联方法、系统、设备及存储介质 |
| CN112737825B (zh) * | 2020-12-23 | 2022-12-02 | 携程旅游信息技术(上海)有限公司 | 基于日志的网络设备关联方法、系统、设备及存储介质 |
| CN113364575A (zh) * | 2021-04-04 | 2021-09-07 | 黑龙江头雁科技有限公司 | 一种基于SM算法的Portal认证方法 |
| CN117478326A (zh) * | 2023-12-28 | 2024-01-30 | 深圳万物安全科技有限公司 | 密钥托管方法、装置、终端设备以及存储介质 |
| CN117478326B (zh) * | 2023-12-28 | 2024-04-09 | 深圳万物安全科技有限公司 | 密钥托管方法、装置、终端设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103873454B (zh) | 2017-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103873454A (zh) | 一种认证方法及设备 | |
| CN104065653B (zh) | 一种交互式身份验证方法、装置、系统和相关设备 | |
| US8196188B2 (en) | Systems and methods for providing network credentials | |
| US8191124B2 (en) | Systems and methods for acquiring network credentials | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| US9374360B2 (en) | System and method for single-sign-on in virtual desktop infrastructure environment | |
| WO2013182154A1 (zh) | 一种对通讯终端上应用程序加、解密的方法、系统和终端 | |
| CN106211152A (zh) | 一种无线接入认证方法及装置 | |
| CN103067158A (zh) | 加密解密方法、终端设备、网关设备及密钥管理系统 | |
| KR20160123069A (ko) | 단말의 통합 인증 방법 및 그 장치 | |
| CN102378171A (zh) | 自动认证方法及系统、Portal服务器、RADIUS服务器 | |
| KR20150124933A (ko) | 개인정보 유출과 스미싱을 방지할 수 있는 사용자 이중 인증 방법 | |
| US11271922B2 (en) | Method for authenticating a user and corresponding device, first and second servers and system | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN103108327A (zh) | 验证终端设备和用户卡安全关联的方法、装置及系统 | |
| Hufstetler et al. | Nfc unlock: Secure two-factor computer authentication using nfc | |
| CN104935435A (zh) | 登录方法、终端及应用服务器 | |
| CN104580235A (zh) | 用于设备连接的认证方法和认证系统 | |
| JP2015534408A (ja) | 端末とリモートサーバとの間の、サードパーティのポータルを介した相互認証の方法 | |
| CN101998407B (zh) | 基于wlan接入认证的业务访问方法 | |
| CN101895538A (zh) | 建立数据交互通道的方法和系统、智能卡、服务器 | |
| CN103428176A (zh) | 移动用户访问移动互联网应用的方法、系统及应用服务器 | |
| CN106537962A (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
| CN103049693B (zh) | 一种应用程序使用的方法、装置及系统 | |
| CN113784354B (zh) | 基于网关的请求转换方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |