CN105530644B - 一种无线认证方法和系统 - Google Patents

一种无线认证方法和系统 Download PDF

Info

Publication number
CN105530644B
CN105530644B CN201610093991.1A CN201610093991A CN105530644B CN 105530644 B CN105530644 B CN 105530644B CN 201610093991 A CN201610093991 A CN 201610093991A CN 105530644 B CN105530644 B CN 105530644B
Authority
CN
China
Prior art keywords
user
authentication
protocol server
document
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610093991.1A
Other languages
English (en)
Other versions
CN105530644A (zh
Inventor
乐毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huzhou Yinglie Intellectual Property Operation Co ltd
Original Assignee
Taizhou Jiji Intellectual Property Operation Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Taizhou Jiji Intellectual Property Operation Co ltd filed Critical Taizhou Jiji Intellectual Property Operation Co ltd
Priority to CN201610093991.1A priority Critical patent/CN105530644B/zh
Publication of CN105530644A publication Critical patent/CN105530644A/zh
Application granted granted Critical
Publication of CN105530644B publication Critical patent/CN105530644B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种无线认证方法和系统,该方法包括步骤:S1:预先建立无线终端对应的所有服务集标识与域的关联关系;S2:当客户端接入服务集标识,并以所述服务集标识对应的域进行接入认证时,无线终端通过文档协议认证报文指明所在域,再由文档协议服务器补全客户端输入的用户名的域名信息后提交给目录协议服务器进行接入认证。本方法可以帮助用户快速完成账号信息的输入。

Description

一种无线认证方法和系统
技术领域
本发明涉及一种无线网络技术,特别是涉及一种无线认证方法和系统。
背景技术
当前无线覆盖越来越多,使用手机等移动终端设备也越来越多,通过WiFi上网成为当前的主流方式。WLAN加密安全越来越成为人们关注的因素之一,其中最有效的加密认证是基于WPA2的企业级认证,其认证是建立在802.1X文档协议认证(Radius认证)协议之上,并能够关联第三方用户数据源,即使用企业原有的目录协议服务器(LDAP服务器)对用户进行授权和管理。
当用户终端接入无线终端(AP/NAS)时,要求用户进行第二无线安全接入认证(WPA2企业级认证),此时用户根据认证方式,输入域名信息加用户名和用户密码提交认证,由于一般用户所在域的域名有比较长,用户利用手机等移动终端输入此域名信息会比较繁琐,直接影响了用户的使用体验。
应所述注意,上面对技术背景的介绍只是为了方便对本申请的技术方案进行清楚、完整的说明,并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本申请的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种可以让用户快速输入账号信息的无线认证方法和系统。
为实现上述目的,本发明提供了一种无线认证方法,包括步骤:
S1:预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系;
S2:当客户端(STA)接入服务集标识(SSID),并以所述服务集标识(SSID)对应的域进行接入认证时,无线终端(AP/NAS)通过文档协议认证报文(Radius Access Request报文)指明所在域,再由文档协议服务器(Radius服务器)补全客户端(STA/SU)输入的用户名的域名信息后提交给目录协议服务器(LDAP服务器)进行接入认证。
优选的,所述步骤S1还包括:
将服务集标识(SSID)设置为第二无线安全接入认证(WPA2企业级认证),支持文档协议认证(Radius认证),并与第三方用户数据源(LDAP用户数据源)关联;
所述步骤S2包括:
S2-1:将客户端(STA)与服务集标识(SSID)进行关联;
S2-2:当客户端(STA)检测到输入用户名和用户密码,并以所述用户名和用户密码关联的服务集标识(SSID)对应的域进行接入认证时,无线终端(AP/NAS)将所述服务集标识(SSID)、用户名和用户密码封装到文档协议认证报文(Radius Access Request报文)中,并将所述文档协议认证报文(Radius Access Request报文)发送到文档协议服务器(Radius服务器);
S2-3:所述文档协议服务器(Radius服务器)根据所述服务集标识(SSID)、用户名和用户密码补全用户名的域名信息,并提交给目录协议服务器(LDAP服务器)进行接入认证。本方案中,服务集标识(SSID)与目录协议服务器(LDAP服务器)的关联、同时与客户端(STA)进行关联,如此通过该服务集标识(SSID)能够关联和使用存储在目录协议服务器(LDAP服务器)中的用户数据,而通过客户端(STA)输入用户名和用户密码则能够通过服务集标识(SSID)关联到用户数据,进而能够帮助文档协议服务器(Radius服务器)进行域名信息的补全,从而使得用户可以仅仅进行部分账号信息的输入,而达到无线认证的目的,避免了繁琐的域名信息输入占用用户的时间,影响用户的使用体验。
优选的,所述步骤S2-3包括:
文档协议服务器(Radius服务器)解析所述文档协议认证报文(Radius AccessRequest报文),并根据解析结果拼装形成带域名信息的用户名;
目录协议服务器(LDAP服务器)收到用户查询请求报文后,对用户进行查找,若查询成功,则向文档协议服务器(Radius服务器)发送查询成功的回应报文;
文档协议服务器(Radius服务器)根据所述回应报文,向所述目录协议服务器(LDAP服务器)发送验证密码请求(NT_Password请求),获得验证密码加密字(NT_Password加密字),然后将验证密码加密字(NT_Password加密字)与从客户端(STA)得到的用户密码对应的加密字进行比对,以判断是否接入认证成功。本方案中,用户名和用户密码先后进行验证,先进行用户名的查询验证,若查询得到方才进行后续步骤,避免无用的用户名占用系统资源;若用户名查询存在,再基于用户名进行密码验证,以确保无线认证的安全性。
优选的,所述文档协议服务器(Radius服务器)根据所述回应报文,向所述目录协议服务器(LDAP服务器)发送验证密码请求(NT_Password请求),获得验证密码加密字(NT_Password加密字),然后将验证密码加密字(NT_Password加密字)同客户端(STA)得到的用户密码对应的加密字进行比对,以判断是否接入认证成功的步骤包括:
所述文档协议服务器(Radius服务器)接收到所述回应报文后,向所述目录协议服务器(LDAP服务器)发送验证密码请求(NT_Password请求),并获取返回的对应用户密码经摘要算法(MD5)计算后的验证密码加密字(NT_Password加密字);
文档协议服务器(Radius服务器)将所述验证密码加密字(NT_Password加密字)封装在访问认证报文(Access Challenge报文)字段里,然后发送给无线终端(AP/NAS);
无线终端(AP/NAS)收到文档协议服务器(Radius服务器)发送的访问认证报文(Access Challenge报文)后,发送摘要算法认证请求消息(EAP-Request/MD5-Challenge)给客户端(STA),要求客户端(STA)认证;
客户端(STA)收到摘要算法认证请求消息(EAP-Request/MD5-Challenge)后,根据客户端(STA)输入的用户密码做摘要算法(MD5)运算后,将用户密码加密字通过摘要算法认证响应消息(EAP-Response/MD5-Challenge)响应给无线终端(AP/NAS);
无线终端(AP/NAS)将客户端(STA)上报的用户密码加密字上报给文档协议服务器(Radius服务器);
文档协议服务器(Radius服务器)将客户端(STA)上报的用户密码加密字和从目录协议服务器(LDAP服务器)获得的验证密码加密字(NT_Password加密字)进行比对,以判断是否接入认证成功。本方案中,具体介绍了用户名验证和用户密码验证的过程,通过多次反复验证保证无线认证的安全性。
优选的,所述文档协议服务器(Radius服务器)根据所述带域名信息的用户名向所述目录协议服务器(LDAP服务器)发送用户查询请求报文的步骤包括:
所述文档协议服务器(Radius服务器)将所述带域名信息的用户名封装到用户查询请求报文中,并将所述用户查询请求报文发送到所述所在域内的目录协议服务器(LDAP服务器)。目录协议服务器(LDAP服务器)未必只有一个,若存在多个时,可以根据预先设置将其发送到对应的目录协议服务器(LDAP服务器),而无须进行广播式的遍寻,提高了无线认证系统的认证效率。
优选的,所述目录协议服务器(LDAP服务器)收到用户查询请求报文后,对用户进行查找,若查询成功,则向文档协议服务器(Radius服务器)发送查询成功的回应报文的步骤包括:
根据所述用户查询请求报文中的查询,对用户进行查找。在用户请求报文中加入查询起始地址、查询范围、以及过滤条件等信息,可以缩小查询范围,进行效率查询。
优选的,若查询失败,则目录协议服务器(LDAP服务器)向文档协议服务器(Radius服务器)发送查询失败的回应报文,则结束以所述服务集标识(SSID)进行的接入认证步骤,接入认证失败。无线认证过程包括查询过程,若查询失败,则结束接入认证过程,避免占用系统资源。
优选的,若所述客户端(STA)上报的用户密码加密字和从目录协议服务器(LDAP服务器)获得的验证密码加密字(NT_Password加密字)的比对结果为不一致,即用户密码认证失败,则结束以所述服务集标识(SSID)进行的接入认证步骤,接入认证失败。无线认证过程包括密码验证,若密码验证失败,则结束接入认证过程,避免占用系统资源。
优选的,所述步骤S2-2中,
根据所述第二无线安全接入认证和文档协议认证(WAP2企业级认证和Radius认证),客户端(STA)弹出预设对话框;
所述预设对话框用于检测用户名和用户密码的输入。客户端(STA)弹出预设对话框,且该预设对话框只需用户进行用户名和用户密码的输入,该用户名指的是不带域名信息的用户名,且无需用户自行选择补全域名信息,而由文档协议服务器(Radius服务器)自行补全,这使得用户可以进行快速的账号信息输入,提高用户体验。
优选的,所述文档协议认证报文(Radius Access Request报文)包括标识字段(NAS_ID),所述标识字段(NAS_ID)包括服务集标识信息(SSID信息)。文档协议认证报文(Radius Access Request报文)加入服务集标识信息(SSID信息),方便文档协议服务器(Radius服务器)进行域名信息补全。
一种使用本发明任一所述方法的无线认证系统,包括:
客户端(STA),用于接入服务集标识(SSID)和输入用户名;
无线终端(AP/NAS),用于发出服务集标识(SSID),以及在预设条件下,向文档协议服务器(Radius服务器)发送文档协议认证报文(Radius Access Request报文),以指明客户端(STA/SU)输入的用户名的所在域;
文档协议服务器(Radius服务器),用于根据所述无线终端(AP/NAS)发送来的文档协议认证报文(Radius Access Request报文)和客户端(STA/SU)输入的用户名,补全用户名的域名信息并提交给目录协议服务器(LDAP服务器)进行接入认证;
目录协议服务器(LDAP服务器),用于执行以所述服务集标识(SSID)对应的域进行的接入认证;
关联模块,用于预先建立所述无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系。
本发明的有益效果是:本发明由于预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系,故而本方法可以使用原有目录协议服务器(LDAP服务器)对用户进行授权和管理,无须舍弃现有的目录协议服务器(LDAP服务器)而另行重新的管理体系,减少资源浪费,并减少改进所需的成本;更重要的,本方法中用户无须在客户端(STA)完全的输入所有的账号信息,仅需输入部分,而由文档协议服务器(Radius服务器)补全用户名的域名信息,即根据服务集标识(SSID)与域的关联关系,并通过无线终端(AP/NAS)和文档协议服务器(Radius服务器)的配合自动完成了用户域的识别和添加,从而减少了用户输入量,快速完成账号信息的输入,提高了用户使用体验。
参照后文的说明和附图,详细公开了本申请的特定实施方式,指明了本申请的原理可以被采用的方式。应所述理解,本申请的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内,本申请的实施方式包括许多改变、修改和等同。
针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用,与其它实施方式中的特征相组合,或替代其它实施方式中的特征。
应所述强调,术语“包括/包含”在本文使用时指特征、整件、步骤或组件的存在,但并不排除一个或更多个其它特征、整件、步骤或组件的存在或附加。
附图说明
所包括的附图用来提供对本申请实施例的进一步的理解,其构成了说明书的一部分,用于例示本申请的实施方式,并与文字描述一起来阐释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明实施例一种无线认证方法的流程图;
图2是本发明实施例优选的一种无线认证方法的流程图;
图3是本发明实施例儿一阵无线认证系统的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都应当属于本申请保护的范围。
实施例一:
图1是本发明实施例一种无线认证方法的流程图,参见图1,该无线认证方法包括步骤:
S1:预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系;
S2:当客户端(STA)接入服务集标识(SSID),并以所述服务集标识(SSID)对应的域进行接入认证时,无线终端(AP/NAS)通过文档协议认证报文(Radius Access Request报文)(Radius Access Request报文)指明所在域,再由文档协议服务器(Radius服务器)补全客户端(STA/SU)输入的用户名的域名信息后提交给目录协议服务器(LDAP服务器)进行接入认证。
本发明的有益效果是:本发明由于预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系,故而本方法可以使用原有目录协议服务器(LDAP服务器)对用户进行授权和管理,无须舍弃现有的目录协议服务器(LDAP服务器)而另行重新的管理体系,减少资源浪费,并减少改进所需的成本;更重要的,本方法中用户无须在客户端(STA)完全的输入所有的账号信息,仅需输入部分,而由文档协议服务器(Radius服务器)补全用户名的域名信息,即根据服务集标识(SSID)与域的关联关系,并通过无线终端(AP/NAS)和文档协议服务器(Radius服务器)的配合自动完成了用户域的识别和添加,从而减少了用户输入量,快速完成账号信息的输入,提高了用户使用体验。
本发明所涉及的域主要指的是LDAP服务器所对应的域名,LDAP服务器可以对应一个或多个域名,本发明建立的是其中某一个选定的域名和服务集标识的关联关系。
本发明所涉及的无线终端主要指的是AP(WirelessAccessPoint),即无线访问接入点,当然也可以是网络访问服务器NAS。
本发明所涉及的客户端,指的是无线局域网的最基本组成单元STA,主要包括终端用户设备、无线网络接口和网络软件三部分。
本发明所涉及的服务集标识指的是SSID(Service Set Identifier的缩写),SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。
本发明所涉及的LDAP指的是轻量目录访问协议,英文全称是LightweightDirectory Access Protocol,文档协议服务器(LDAP服务器)是基于该协议建立的服务器。
本发明所涉及的Radius是一种用于在需要认证其链接的网络访问服务器NAS和共享认证服务器之间进行认证、授权和记帐信息的文档协议;文档协议服务器(Radius服务器)是基于该文档协议的服务器。
图2是本实施例优选的无线认证方法的流程图,参考图1和图2可知:
本实施例优选的,步骤S1包括:
S1-1:预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系
S1-2:将服务集标识(SSID)设置为第二无线安全接入认证(WPA2企业级认证),支持文档协议认证(Radius认证),并与第三方用户数据源(LDAP用户数据源)关联;
步骤S2包括:
S2-1:将客户端(STA)与服务集标识(SSID)进行关联;
S2-2:当客户端(STA)检测到输入用户名和用户密码,并以用户名和用户密码关联的服务集标识(SSID)对应的域进行接入认证时,无线终端(AP/NAS)将服务集标识(SSID)、用户名和用户密码封装到文档协议认证报文(Radius Access Request报文)中,并将所述文档协议认证报文(Radius Access Request报文)发送到文档协议服务器(Radius服务器);
S2-3:文档协议服务器(Radius服务器)根据服务集标识(SSID)、用户名和用户密码补全用户名的域名信息,并提交给目录协议服务器(LDAP服务器)进行接入认证。本方案中,服务集标识(SSID)与目录协议服务器(LDAP服务器)的关联、同时与客户端(STA)进行关联,如此通过该服务集标识(SSID)能够关联和使用存储在目录协议服务器(LDAP服务器)中的用户数据,而通过客户端(STA)输入用户名和用户密码则能够通过服务集标识(SSID)关联到用户数据,进而能够帮助文档协议服务器(Radius服务器)进行域名信息的补全,从而使得用户可以仅仅进行部分账号信息的输入,而达到无线认证的目的,避免了繁琐的域名信息输入占用用户的时间,影响用户的使用体验。
其中,该文档协议认证(Radius认证)协议指的是802.1X文档协议认证(Radius认证)协议。
具体的,建立服务集标识(SSID)和目录协议服务器(LDAP服务器)之间的关联,实际上是建立无线终端(AP/NAS)的服务集标识(SSID)SSID和LDAP server认证域之间的关联关系,比如,SSID_name与name.com域关联;该关联关系的设置可以通过AC设置页面完成,该AC指的是接入控制器(Access Controller或Wireless Access Point Controller),即无线控制器,是一种网络设备,负责管理某个区域内无线网络中的无线终端(AP/NAS)。
另外,例如带域名信息的用户名为user@name.com,则其中user是用户名,name.com是其所在的域;用户只需输入user即可,极大的减少了用户的输入工作量,给用户以便利。
本实施例优选的,步骤S2-3包括:
文档协议服务器(Radius服务器)解析文档协议认证报文(Radius AccessRequest报文),并根据解析结果拼装形成带域名信息的用户名;
目录协议服务器(LDAP服务器)收到用户查询请求报文后,对用户进行查找,若查询成功,则向文档协议服务器(Radius服务器)发送查询成功的回应报文;
文档协议服务器(Radius服务器)根据回应报文,向目录协议服务器(LDAP服务器)发送验证密码请求(NT_Password请求),获得验证密码加密字(NT_Password加密字),然后将验证密码加密字(NT_Password加密字)与从客户端(STA)得到的用户密码对应的加密字进行比对,以判断是否接入认证成功。本方案中,用户名和用户密码先后进行验证,先进行用户名的查询验证,若查询得到方才进行后续步骤,避免无用的用户名占用系统资源;若用户名查询存在,再基于用户名进行密码验证,以确保无线认证的安全性。
其中,该用户查询请求报文指的是用户查询请求报文(User DN SearchRequest)。
本实施例优选的,文档协议服务器(Radius服务器)根据回应报文,向目录协议服务器(LDAP服务器)发送验证密码请求(NT_Password请求),获得验证密码加密字(NT_Password加密字),然后将验证密码加密字(NT_Password加密字)同客户端(STA)得到的用户密码对应的加密字进行比对,以判断是否接入认证成功的步骤包括:
文档协议服务器(Radius服务器)接收到回应报文后,向目录协议服务器(LDAP服务器)发送验证密码请求(NT_Password请求),并获取返回的对应用户密码经摘要算法(MD5)计算后的验证密码加密字(NT_Password加密字);
文档协议服务器(Radius服务器)将验证密码加密字(NT_Password加密字)封装在访问认证报文(Access Challenge报文)字段里,然后发送给无线终端(AP/NAS);
无线终端(AP/NAS)收到文档协议服务器(Radius服务器)发送的访问认证报文(Access Challenge报文)后,发送摘要算法认证请求消息(EAP-Request/MD5-Challenge)给客户端(STA),要求客户端(STA)认证;
客户端(STA)收到摘要算法认证请求消息(EAP-Request/MD5-Challenge)后,根据客户端(STA)输入的用户密码做摘要算法(MD5)运算后,将用户密码加密字通过摘要算法认证响应消息(EAP-Response/MD5-Challenge)响应给无线终端(AP/NAS);
无线终端(AP/NAS)将客户端(STA)上报的用户密码加密字上报给文档协议服务器(Radius服务器);
文档协议服务器(Radius服务器)将客户端(STA)上报的用户密码加密字和从目录协议服务器(LDAP服务器)获得的验证密码加密字(NT_Password加密字)进行比对,以判断是否接入认证成功。本方案中,具体介绍了用户名验证和用户密码验证的过程,通过多次反复验证保证无线认证的安全性。
本实施例优选的,文档协议服务器(Radius服务器)根据所述带域名信息的用户名向目录协议服务器(LDAP服务器)发送用户查询请求报文的步骤包括:
文档协议服务器(Radius服务器)将所述带域名信息的用户名封装到用户查询请求报文中,并将用户查询请求报文发送到所在域内的目录协议服务器(LDAP服务器)。目录协议服务器(LDAP服务器)未必只有一个,若存在多个时,可以根据预先设置将其发送到对应的目录协议服务器(LDAP服务器),而无须进行广播式的遍寻,提高了无线认证系统的认证效率。
本实施例优选的,目录协议服务器(LDAP服务器)收到用户查询请求报文后,对用户进行查找,若查询成功,则向Radius发送查询成功的回应报文的步骤包括:
根据用户查询请求报文中的查询,对用户进行查找。在用户请求报文中加入查询起始地址、查询范围、以及过滤条件等信息,可以缩小查询范围,进行效率查询。
本实施例优选的,若用户查询请求报文的结果为查询失败,则LDAP向文档协议服务器(Radius服务器)发送查询失败的回应报文,则结束以服务集标识(SSID)进行的接入认证步骤,接入认证失败。无线认证过程包括查询过程,若查询失败,则结束接入认证过程,避免占用系统资源。
本实施例优选的,若客户端(STA)上报的用户密码加密字和从目录协议服务器(LDAP服务器)获得的验证密码加密字(NT_Password加密字)的比对结果为不一致,即用户密码认证失败,则结束以所述服务集标识(SSID)进行的接入认证步骤,接入认证失败。无线认证过程包括密码验证,若密码验证失败,则结束接入认证过程,避免占用系统资源。
本实施例优选的,步骤S2-2中,
根据第二无线安全接入认证和文档协议认证(WAP2企业级认证和Radius认证),客户端(STA)弹出预设对话框;
预设对话框用于检测用户名和用户密码的输入。客户端(STA)弹出预设对话框,且该预设对话框只需用户进行用户名和用户密码的输入,该用户名指的是不带域名信息的用户名,且无需用户自行选择补全域名信息,而由文档协议服务器(Radius服务器)自行补全,这使得用户可以进行快速的账号信息输入,提高用户体验。
本实施例优选的,文档协议认证报文(Radius Access Request报文)包括标识字段(NAS_ID),标识字段(NAS_ID)包括服务集标识信息(SSID信息)。文档协议认证报文(Radius Access Request报文)加入服务集标识信息(SSID信息),方便文档协议服务器(Radius服务器)进行域名信息补全。
实施例二:
图3是本发明实施例二一种无线认证系统,该系统使用本发明任一公开的认证方法,该系统包括:
客户端(STA)10,用于接入服务集标识(SSID)和输入用户名;
无线终端(AP/NAS)20,用于发出服务集标识(SSID),以及在预设条件下,向文档协议服务器(Radius服务器)发送文档协议认证报文(Radius Access Request报文),以指明客户端(STA/SU)输入的用户名的所在域;
文档协议服务器(Radius服务器)30,用于根据无线终端(AP/NAS)发送来的文档协议认证报文(Radius Access Request报文)和客户端(STA/SU)输入的用户名,补全用户名的域名信息并提交给目录协议服务器(LDAP服务器)进行接入认证;
目录协议服务器(LDAP服务器)40,用于执行以服务集标识(SSID)对应的域进行的接入认证;
关联模块50,用于预先建立无线终端(AP/NAS)对应的所有服务集标识(SSID)与域的关联关系。
该域指的是对应于该目录协议服务器(LDAP服务器)40的一个域名。
其中,该关联模块可以集成在无线终端(AP/NAS)或者目录协议服务器(LDAP服务器)处,也可以单独设置。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种无线认证方法,其特征在于,包括步骤:
S1:预先建立无线终端对应的所有服务集标识与域的关联关系,具体为:将服务集标识设置为第二无线安全接入认证,支持文档协议认证,并与第三方用户数据源关联;
S2:当客户端接入服务集标识,并以所述服务集标识对应的域进行接入认证时,无线终端通过文档协议认证报文指明所在域,再由文档协议服务器补全客户端输入的用户名的域名信息后提交给目录协议服务器进行接入认证;具体为:
S2-1:将客户端与服务集标识进行关联;
S2-2:当客户端检测到输入用户名和用户密码,并以所述用户名和用户密码关联的服务集标识对应的域进行接入认证时,无线终端将所述服务集标识、用户名和用户密码封装到文档协议认证报文中,并将所述文档协议认证报文发送到文档协议服务器;
S2-3:所述文档协议服务器根据所述服务集标识、用户名和用户密码补全用户名的域名信息,并提交给目录协议服务器进行接入认证。
2.如权利要求1所述的无线认证方法,其特征是:所述步骤S2-3包括:
文档协议服务器解析所述文档协议认证报文,并根据解析结果拼装形成带域名信息的用户名;
目录协议服务器收到用户查询请求报文后,对用户进行查找,若查询成功,则向文档协议服务器发送查询成功的回应报文;
文档协议服务器根据所述回应报文,向所述目录协议服务器发送验证密码请求,获得验证密码加密字,然后将验证密码加密字与从客户端得到的用户密码对应的加密字进行比对,以判断是否接入认证成功。
3.如权利要求2所述的无线认证方法,其特征是:所述文档协议服务器根据所述回应报文,向所述目录协议服务器发送验证密码请求,获得验证密码加密字,然后将验证密码加密字同客户端得到的用户密码对应的加密字进行比对,以判断是否接入认证成功的步骤包括:
所述文档协议服务器接收到所述回应报文后,向所述目录协议服务器发送验证密码请求,并获取返回的对应用户密码经摘要算法计算后的验证密码加密字;
文档协议服务器将所述验证密码加密字封装在访问认证报文字段里,然后发送给无线终端;
无线终端收到文档协议服务器发送的访问认证报文后,发送摘要算法认证请求消息给客户端,要求客户端认证;
客户端收到摘要算法认证请求消息后,根据客户端输入的用户密码做摘要算法运算后,将用户密码加密字通过摘要算法认证响应消息响应给无线终端;
无线终端将客户端上报的用户密码加密字上报给文档协议服务器;
文档协议服务器将客户端上报的用户密码加密字和从目录协议服务器获得的验证密码加密字进行比对,以判断是否接入认证成功。
4.如权利要求2所述的无线认证方法,其特征是:所述文档协议服务器根据所述带域名信息的用户名向所述目录协议服务器发送用户查询请求报文的步骤包括:
所述文档协议服务器将所述带域名信息的用户名封装到用户查询请求报文中,并将所述用户查询请求报文发送到所述所在域内的目录协议服务器。
5.如权利要求2所述的无线认证方法,其特征是:所述目录协议服务器收到用户查询请求报文后,对用户进行查找,若查询成功,则向文档协议服务器发送查询成功的回应报文的步骤包括:
根据所述用户查询请求报文中的查询起始地址、查询范围、以及过滤条件,对用户进行查找。
6.如权利要求2所述的无线认证方法,其特征是:若查询失败,则目录协议服务器向文档协议服务器发送查询失败的回应报文,则结束以所述服务集标识进行的接入认证步骤,接入认证失败。
7.如权利要求2所述的无线认证方法,其特征是:若所述客户端上报的用户密码加密字和从目录协议服务器获得的验证密码加密字的比对结果为不一致,即用户密码认证失败,则结束以所述服务集标识进行的接入认证步骤,接入认证失败。
8.如权利要求1所述的无线认证方法,其特征是:所述步骤S2-2中,
根据所述第二无线安全接入认证和文档协议认证,客户端弹出预设对话框;
所述预设对话框用于检测用户名和用户密码的输入。
9.如权利要求1所述的无线认证方法,其特征是:所述文档协议认证报文包括标识字段,所述标识字段包括服务集标识信。
10.一种使用如权利要求1-9任一所述的无线认证方法的无线认证系统,其特征在于,包括:
客户端,用于接入服务集标识和输入用户名;
无线终端,用于发出服务集标识,以及在预设条件下,向文档协议服务器发送文档协议认证报文,以指明客户端输入的用户名的所在域;
文档协议服务器,用于根据所述无线终端发送来的文档协议认证报文和客户端输入的用户名,补全用户名的域名信息并提交给目录协议服务器进行接入认证;
目录协议服务器,用于执行以所述服务集标识对应的域进行的接入认证;
关联模块,用于预先建立所述无线终端对应的所有服务集标识与域的关联关系。
CN201610093991.1A 2016-02-19 2016-02-19 一种无线认证方法和系统 Active CN105530644B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610093991.1A CN105530644B (zh) 2016-02-19 2016-02-19 一种无线认证方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610093991.1A CN105530644B (zh) 2016-02-19 2016-02-19 一种无线认证方法和系统

Publications (2)

Publication Number Publication Date
CN105530644A CN105530644A (zh) 2016-04-27
CN105530644B true CN105530644B (zh) 2020-11-27

Family

ID=55772550

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610093991.1A Active CN105530644B (zh) 2016-02-19 2016-02-19 一种无线认证方法和系统

Country Status (1)

Country Link
CN (1) CN105530644B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114629683B (zh) * 2022-02-11 2023-09-05 亚信科技(成都)有限公司 管理服务器的接入方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1592221A (zh) * 2003-09-02 2005-03-09 华为技术有限公司 一种实现网络访问控制的方法
CN101132326A (zh) * 2006-08-24 2008-02-27 华为技术有限公司 一种自动配置的方法及系统及设备
WO2008049214A1 (en) * 2006-10-26 2008-05-02 Research In Motion Limited Transient wlan connection profiles
CN102026263A (zh) * 2010-12-09 2011-04-20 苏州捷泰科信息技术有限公司 一种无线通信网络连接方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1592221A (zh) * 2003-09-02 2005-03-09 华为技术有限公司 一种实现网络访问控制的方法
CN101132326A (zh) * 2006-08-24 2008-02-27 华为技术有限公司 一种自动配置的方法及系统及设备
WO2008049214A1 (en) * 2006-10-26 2008-05-02 Research In Motion Limited Transient wlan connection profiles
CN102026263A (zh) * 2010-12-09 2011-04-20 苏州捷泰科信息技术有限公司 一种无线通信网络连接方法

Also Published As

Publication number Publication date
CN105530644A (zh) 2016-04-27

Similar Documents

Publication Publication Date Title
US20230328516A1 (en) Device based credentials
US7542572B2 (en) Method for securely and automatically configuring access points
WO2015101125A1 (zh) 网络接入控制方法和设备
US9787683B2 (en) Seamless wi-fi subscription remediation
WO2009000206A1 (fr) Procédé et système de commande d'accès de nœud initial b
CN101379795A (zh) 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配
WO2016195821A1 (en) Distributed configurator entity
DK2924944T3 (en) Presence authentication
CN107567017B (zh) 无线连接系统、装置及方法
WO2013107423A1 (zh) 一种网络接入的认证方法、系统和设备
CN104580116A (zh) 一种安全策略的管理方法和设备
CN104519490A (zh) Wifi连接方法、装置、移动终端及系统
US11523332B2 (en) Cellular network onboarding through wireless local area network
US20170111842A1 (en) Communication management and wireless roaming support
US20140157373A1 (en) Authentication apparatus and method thereof, and computer program
AU2018274707B2 (en) Improvements in and relating to network communications
CN105530644B (zh) 一种无线认证方法和系统
CN105915557B (zh) 一种网络认证方法、访问控制方法和网络接入设备
CN114143057B (zh) 网络连接的认证方法、装置、系统、电子设备及存储介质
CN115989689A (zh) 用于边缘数据网络的用户装备认证和授权规程
CN113660661A (zh) 终端网络配置的修改方法及相关设备
CN112202799B (zh) 一种实现用户和/或终端与ssid绑定的认证系统及方法
US11546339B2 (en) Authenticating client devices to an enterprise network
US20220286447A1 (en) Providing security services via federation-based network during roaming
WO2010124608A1 (zh) 紧急业务的实现方法及家用基站

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20200422

Address after: No. 2-3167, zone a, Nonggang City, No. 2388, Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province

Applicant after: Taizhou Jiji Intellectual Property Operation Co.,Ltd.

Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666

Applicant before: Phicomm (Shanghai) Co.,Ltd.

TA01 Transfer of patent application right

Effective date of registration: 20200713

Address after: 201616 Shanghai city Songjiang District Sixian Road No. 3666

Applicant after: Phicomm (Shanghai) Co.,Ltd.

Address before: No. 2-3167, zone a, Nonggang City, No. 2388, Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province

Applicant before: Taizhou Jiji Intellectual Property Operation Co.,Ltd.

TA01 Transfer of patent application right
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20201026

Address after: 318015 no.2-3167, zone a, Nonggang City, no.2388, Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province

Applicant after: Taizhou Jiji Intellectual Property Operation Co.,Ltd.

Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666

Applicant before: Phicomm (Shanghai) Co.,Ltd.

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240407

Address after: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee after: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Country or region after: China

Address before: 318015 no.2-3167, area a, nonggangcheng, 2388 Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province

Patentee before: Taizhou Jiji Intellectual Property Operation Co.,Ltd.

Country or region before: China