CN106790274A

CN106790274A - 一种一次性密码登录无线局域网的方法

Info

Publication number: CN106790274A
Application number: CN201710089728.XA
Authority: CN
Inventors: 王平建; 刘坤; 常冰
Original assignee: Institute of Information Engineering of CAS; Data Assurance and Communication Security Research Center of CAS
Current assignee: Institute of Information Engineering of CAS; Data Assurance and Communication Security Research Center of CAS
Priority date: 2017-02-20
Filing date: 2017-02-20
Publication date: 2017-05-31

Abstract

本发明涉及一种一次性密码登录无线局域网的方法，步骤为：客户端根据共享密钥、路由器SSID和UNIX时间戳，使用一次性密码生成算法生成一个一次性密码，然后在登录路由器时输入用户名及该一次性密码，路由器把用户名传给认证服务器，认证服务器根据用户名在数据库中取到共享密钥，然后再根据路由器SSID及系统时间也生成一个密码，比较客户端提交的密码与认证服务器生成的密码是否一致，一致则认证成功。

Description

一种一次性密码登录无线局域网的方法

技术领域

本发明属于无线安全领域，把一次性密码技术应用到无线局域网登录上。

背景技术

作为一种公共移动数据接入方式，PWLAN(公共无线局域网)的安全问题成为商业用户最关心的问题，包括合法用户身份信息(假冒)的安全，敏感商业信息的安全，防止黑客的攻击等等，成为影响人们使用PWLAN业务信心的关键问题。

目前无线局域网在全球快速发展，网络建设所采用的方法也都不尽相同，在某种程度上可以说是混乱的，在公共区域中尤为如此。根据Wi-Fi联盟的资料显示，目前最普遍接入方式是基于浏览器认证，亦称作通用接入方法(UAM)。通过浏览器认证，接入控制器将用户的浏览器重定位到一个本地Web服务器，其过程受TLS保护。用户到UAM登陆页面进行身份认证，在发送到Web服务器的表格中输入用户名和密码。这种方法的显著优点是配置简单，并且事实上移动用户只需支持Web浏览就可以访问接入系统。

虽然UAM简单并且易于采用，它有一些严重的缺陷。1)用户的经验。若用户的目的是使用诸如e-mail客户端的其它一些应用程序，进行网络访问的第一步，也就是打开浏览器，就并不习惯。2)企业用户经常需要进行VPN的配置，这与访问一个本地的Web服务器是相冲突的。3)典型的，UAM把用户的认证信息暴露给所访问网络的Web服务器。这一特征对于不愿暴露用户数据库的运营商而言是无法接受的，即使是暴露给合法的漫游伙伴。4)除非用户手工检查服务器使用的证书以保护页面(用户极少这样做)，用户的认证信息可能在不经意间透露给一个运行恶意无线接入点(AP)的攻击者。

有线局域网通过固定线路连接组建，计算机终端通过网络接入固定位置物理端口，实现局域网接入，这里没有直接控制到端口的方法，也不需要控制到端口，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的网络空间具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于该网络。随着无线局域网的广泛应用，如何通过端口认证来实现用户级的接入控制就成为一项非常现实的问题。802.1X正是基于这一需求而出现的一种认证技术，也就是说，对于有线局域网，该项认证没有存在的意义。

IEEE 802.1X协议，称为基于端口的访问控制协议(Port Based Network AccessControl Protocol)是由IEEE于2001年6月提出的，符合IEEE 802协议集的局域网接入控制协议，主要目的是为了解决无线局域网用户的接入认证问题，能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网用户的认证和授权手段，达到接受合法用户接入，保护网络安全的目的。

目前，IEEE 802.1X认证协议作为业界最新的标准认证协议已经得到了很多网络设备制造商的重视，Cisco、3Com、Avaya、D-Link等纷纷组织研发力量进行基于802.1X协议相关产品的开发。作为软件厂商，微软在Windows XP中已经整合了IEEE 802.1X客户端软件，无需要另外安装客户端软件。

发明内容

本发明技术解决问题：克服现有技术的不足，提供一种一次性密码登录无线局域网的方法，进行路由器登录认证，实施过程相对简单，密码时效短，安全性较高，适用于支持802.1x的路由器。

本发明采用的技术方案为：一种一次性密码登录无线局域网的方法，客户端根据共享密钥、路由器SSID和客户端的UNIX时间戳，使用一次性密码生成算法生成一个一次性密码，然后在登录路由器时输入用户名及该一次性密码，路由器把用户名传给认证服务器，认证服务器根据用户名在数据库中取到共享密钥，然后再根据路由器SSID及认证服务器的UNIX时间戳也生成一个密码，比较客户端发送的密码与认证服务器生成的密码是否一致，一致则认证成功。

如图1所示，所述一次性密码生成算法如下：

第一步，客户端和认证服务器由无线局域网系统的密钥管理中心颁布一个共享密钥K，客户端和认证服务器Radius分别保存；

第二步，计算时间参数T，T＝(CurrentUnixTime-T0)/X，CurrentUnixTime为当前系统的UNIX时间戳，即从1970年1月1日到当前时间的秒数，T0为起始时间，可设为0，X为步长，即一次性密码有效时间，T的长度为8字节；

第三步，计算SM3(K+T+SSID)，SSID为路由器名称，先把共享密钥K、时间参数T和SSID连在一起组成一串字符串，然后对字符串做SM3算法，即国家密码标准算法，SM3算法输出是一个长为256bit的二进制串；

第四步，利用DT()函数将SM3(K+T+R)截短、变换，输出一个8位数字，即TOTP(基于时间的一次性密码)值。

本发明的有益效果是：现在商用领域，基于时间的一次性密码基本上只由共享密钥和时间决定，而且在路由器认证方面基本没有人使用基于时间的一次性密码，大多是给手机发送一个验证码，来完成一次性密码登录。而本发明首先把基于时间的一次性密码应用到无线局域网认证，而且在传统的基于时间的一次性密码的基础上，本发明加入了路由器的名称SSID作为算法的第三个变量，使得本发明的一次性密码更加灵活安全。本发明技术原理和实施过程均相对简单，密码时效短，安全性较高。

附图说明

图1为一次性口令生成算法示意图；

图2为认证流程示意图。

具体实施方式

为使本发明的目的、原理、技术方案和优点更加清晰明白，以下结合具体实施例，并参照附图对本发明做详细的说明。

本发明实施例把区域分为客户端(PC、移动端)、设备端和认证服务器三部分。

客户端系统，称作申请者，一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，当用户有上网需求时，通过启动这个客户端软件发起IEEE 802.1X协议的认证过程。为了支持基于端口的接入控制，客户端系统需支持EAPOL协议。

设备端，在WLAN中就是无线接入点(wireless access point)，在认证过程中只起到透传的功能，所有的认证工作在申请和认证服务器上完成。

认证服务器，通常采用远程接入用户认证服务(Remote Authentication Dial-InService，RADIUS)的服务器，该服务器可以存储有关用户的信息，通过检验客户端发送来的信息来判别用户是否有权使用网络系统提供的网络服务。

本发明按以下步骤实现，如图2所示：

第一步，客户端利用密码生成工具执行一次性密码生成算法，先把共享密钥K、时间参数T和路由器名称SSID连在一起组成一串字符串，然后对字符串做SM3算法，输出一个长为256bit的二进制串，利用DT()函数将SM3(K+T+R)截短、变换，输出一个8位数字，即为临时密码TOTP_client。

第二步，用户连接设备端，输入用户名及密码。

第三步，设备端收到客户端发来的用户名后，把用户名发送给Radius服务器。

第四步，Radius服务器将该信息与数据库中的用户名列表中对比，找到该用户名，得到共享密钥，由于可能存在传输延迟或本地时间不同步，同时计算时间参数为T-2到T+2的一次性密码，得到5个密码，并用随机生成的一个MD5Challenge(随机生成的一个字符串，用于与密码串在一起做MD5算法)消息对这5个密码都进行加密处理，然后将此MD5Challenge消息发送给设备端。

第五步，设备端把MD5Challenge消息转发给客户端。

第六步，客户端在收到由设备端传来的MD5Challenge消息后，用该Challenge消息对密码部分进行加密处理，然后把加密后的密码发送给设备端。

第七步，设备端又将收到的加密后的密码发送给Radius服务器。

第八步，Radius服务器将收到的已加密的密码信息，与第三步在本地经过加密运算后的5个密码信息进行对比，如果有一个相同则认为为合法用户，并向设备端发送认证通过报文。

第九步，设备收到认证通过报文后，将端口改为授权状态，允许用户通过端口访问网络。

以上所述实施例仅为更好的说明本发明的目的、原理、技术方案和有益效果。所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种一次性密码登录无线局域网的方法，其特征在于步骤如下：

客户端根据共享密钥、路由器SSID和UNIX时间戳，使用一次性密码生成算法生成一个一次性密码，然后在登录路由器时输入用户名及该一次性密码，路由器把用户名传给认证服务器，认证服务器根据用户名在数据库中取到共享密钥，然后再根据路由器SSID及系统时间也生成一个密码，比较客户端提交的密码与认证服务器生成的密码是否一致，一致则认证成功。

2.根据权利要求1所述的一次性密码登录无线局域网的方法，其特征在于：所述一次性密码生成算法如下：

第一步，客户端和认证服务器由密钥管理中心颁布一个共享密钥K，客户端和认证服务器Radius分别保存；

第二步，计算时间参数T，T＝(CurrentUnixTime-T0)/X，CurrentUnixTime为当前所在系统的UNIX时间戳，即从1970年1月1日到当前时间的秒数，T0为起始时间，可设为0，X为步长，即一次性密码有效时间，T的长度为8字节；

第三步，计算SM3(K+T+SSID)，SSID为路由器名称，先把共享密钥K、时间T和SSID连在一起组成一串字符串，然后对连在一起的字符串做SM3算法，即国家密码标准算法，SM3算法输出是一个长为256bit的二进制串；

第四步，利用DT()函数将SM3(K+T+R)截短、变换，输出一个8位数字，即TOTP值，即基于时间的一次性密码值。