CN108769058B - 一种接入认证方法及装置 - Google Patents

一种接入认证方法及装置 Download PDF

Info

Publication number
CN108769058B
CN108769058B CN201810638997.1A CN201810638997A CN108769058B CN 108769058 B CN108769058 B CN 108769058B CN 201810638997 A CN201810638997 A CN 201810638997A CN 108769058 B CN108769058 B CN 108769058B
Authority
CN
China
Prior art keywords
password
client
access
psk
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810638997.1A
Other languages
English (en)
Other versions
CN108769058A (zh
Inventor
单丽娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Information Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201810638997.1A priority Critical patent/CN108769058B/zh
Publication of CN108769058A publication Critical patent/CN108769058A/zh
Application granted granted Critical
Publication of CN108769058B publication Critical patent/CN108769058B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请实施例提供了一种接入认证方法及装置,应用于接入设备,包括:在客户端以第一密码作为PSK请求接入网络时,判断客户端是否满足认证条件;若不满足,获得基于第二密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证,在认证成功的情况下,为客户端分配接入密码,作为第三密码,将第三密码通知至客户端,以使得客户端以第三密码作为PSK重新请求接入网络;若满足,获得基于第三密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证。应用本申请实施例提供的方案进行接入认证,能够使得不同客户端不再基于相同PSK进行PSK接入认证,降低了密码泄露或者被破解的风险。

Description

一种接入认证方法及装置
技术领域
本申请涉及通信技术领域,特别是涉及一种接入认证方法及装置。
背景技术
由于WLAN使用的是开放性媒介,即采用公共电磁波作为载体来传输数据信号,通信双方没有线缆连接,如果传输链路未采用加密保护,会大大增加数据传输的风险。因此,网络安全在WLAN中显得尤为重要。为增强WLAN的网络安全性,需要借助认证机制对用户的身份进行验证,验证通过的情况下,才允许用户使用网络。
上述认证机制一般包括:链路认证和接入认证。其中,接入认证是一种增强WLAN网络安全性的解决方案。当客户端和接入设备关联后,客户端是否可以使用接入设备提供的服务接入网络,取决于接入认证结果。如果接入认证成功,则接入设备允许客户端连接网络,否则,不允许客户端连接网络。
以上述接入认证中的PSK(Pre-Shared Key,预共享密钥)接入认证方式为例,PSK认证需要事先在客户端和接入设备中配置相同的密码,上述相同的密码即为PSK,接入设备和客户端需要通过四次握手协商完成PSK认证过程,在上述PSK认证过程中接入设备根据上述PSK计算生成PMK(Pairwise Master Key,成对主密钥)。另外,在上述PSK认证过程中若客户端是以上述PSK请求接入网络的,则得到的认证结果为接入认证成功,若客户端未以上述PSK请求接入网络,则得到的认证结果为接入认证失败。
虽然应用上述方式可以实现PSK认证,但是由于客户端和接入设备中的PSK是事先设定好的,而且各个客户端使用的是相同的PSK,又由于网络上存在很多密码共享软件、密码破解教程,导致上述事先配置的PSK存在泄露或者被破解的风险。
发明内容
本申请实施例的目的在于提供一种接入认证方法及装置,以使得不同客户端不再基于相同PSK进行PSK接入认证,降低密码泄露或者被破解的风险。具体技术方案如下:
第一方面,本申请实施例提供了一种接入认证方法,应用于接入设备,所述方法包括:
在客户端以第一密码作为预共享密钥PSK请求接入网络时,判断所述客户端是否满足认证条件,其中,所述第一密码为:所述客户端请求接入网络时使用的密码;
若不满足,获得基于第二密码计算生成的成对主密钥PMK,结合所获得的PMK对所述客户端进行PSK接入认证,并在认证成功的情况下,为所述客户端分配接入密码,作为第三密码,并将所述第三密码通知至所述客户端,以使得所述客户端以所述第三密码作为PSK重新请求接入网络,其中,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
若满足,获得基于所述第三密码计算生成的PMK,结合所获得的PMK对所述客户端进行PSK接入认证。
第二方面,本申请实施例提供了一种接入认证方法,应用于客户端,所述方法包括:
以第一密码作为PSK向接入设备请求接入网络;
获得所述接入设备通知的第三密码,其中,所述第三密码为:所述接入设备判断所述客户端不满足认证条件的情况下,结合基于第二密码计算生成的PMK对所述客户端进行PSK接入认证成功后,为所述客户端分配的接入密码,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
以所述第三密码作为PSK向所述接入设备重新请求接入网络,以使得所述接入设备结合基于所述第三密码计算生成的PMK对所述客户端进行PSK接入认证。
第三方面,本申请实施例提供了一种接入认证装置,应用于接入设备,所述装置包括:
条件判断模块,用于在客户端以第一密码作为预共享密钥PSK请求接入网络时,判断所述客户端是否满足认证条件,若不满足,触发第一接入认证模块,若满足,触发第二接入认证模块,其中,所述第一密码为:所述客户端请求接入网络时使用的密码;
所述第一接入认证模块,用于获得基于第二密码计算生成的成对主密钥PMK,结合所获得的PMK对所述客户端进行PSK接入认证,其中,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
密码分配模块,用于在认证成功的情况下,为所述客户端分配接入密码,作为第三密码,并将所述第三密码通知至所述客户端,以使得所述客户端以所述第三密码作为PSK重新请求接入网络;
所述第二接入认证模块,用于获得基于所述第三密码计算生成的PMK,结合所获得的PMK对所述客户端进行PSK接入认证。
第四方面,本申请实施例提供了一种接入认证装置,应用于客户端,所述装置包括:
第一接入请求模块,用于以第一密码作为PSK向接入设备请求接入网络;
第一密码获得模块,用于获得所述接入设备通知的第三密码,其中,所述第三密码为:所述接入设备判断所述客户端不满足认证条件的情况下,结合基于第二密码计算生成的PMK对所述客户端进行PSK接入认证成功后,为所述客户端分配的接入密码,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
第二接入请求模块,用于以所述第三密码作为PSK向所述接入设备重新请求接入网络,以使得所述接入设备结合基于所述第三密码计算生成的PMK对所述客户端进行PSK接入认证。
第五方面,本申请实施例提供了一种接入设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述第一方面所述的方法步骤。
第六方面,本申请实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述第一方面所述的方法步骤。
第七方面,本申请实施例提供了一种客户端,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述第二方面所述的方法步骤。
第八方面,本申请实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述第二方面所述的方法步骤。
由以上可见,本申请实施例提供的方案中,客户端以第一密码作为PSK请求接入网络时,若接入设备判断客户端不满足认证条件,获得基于第二密码计算生成的PMK,并结合所获得的PMK对客户端进行PSK接入认证,在认证成功的情况下,为客户端分配接入密码,并将所分配的接入密码通知至客户端,客户端基于上述分配的接入密码重新请求接入网络;而在接入设备判断客户端满足认证条件时,获得基于上述分配的接入密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证。与现有技术相比,本申请实施例提供的方案中,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的第一种接入认证方法的流程示意图;
图2为本申请实施例提供的一种接入认证过程的信令示意图;
图3为本申请实施例提供的第二种接入认证方法的流程示意图;
图4为本申请实施例提供的第一种接入认证装置的结构示意图;
图5为本申请实施例提供的第二种接入认证装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
由于现有技术的PSK认证过程中,客户端和接入设备中的PSK是事先设定好的,而且各个客户端使用的是相同的PSK,又由于网络上存在很多密码共享软件、密码破解教程,导致上述事先配置的PSK存在泄露或者被破解的风险。为解决这一技术问题,本申请实施例提供了一种接入认证方法及装置。
本申请的一个实施例中,提供了一种接入认证方法,应用于接入设备,上述方法包括:
在客户端以第一密码作为PSK请求接入网络时,判断客户端是否满足认证条件,其中,第一密码为:客户端请求接入网络时使用的密码;
若不满足,获得基于第二密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证,并在认证成功的情况下,为客户端分配接入密码,作为第三密码,并将第三密码通知至客户端,以使得客户端以第三密码作为PSK重新请求接入网络,其中,第二密码包括:预先配置的PSK和/或接入设备为客户端分配的已失效接入密码;
若满足,获得基于第三密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证。
本申请的另一个实施例中,提供了一种接入认证方法,应用于客户端,上述方法包括:
以第一密码作为PSK向接入设备请求接入网络;
获得接入设备通知的第三密码,其中,第三密码为:接入设备判断客户端不满足认证条件的情况下,结合基于第二密码计算生成的PMK对客户端进行PSK接入认证成功后,为客户端分配的接入密码,第二密码包括:预先配置的PSK和/或接入设备为客户端分配的已失效接入密码;
以第三密码作为PSK向接入设备重新请求接入网络,以使得接入设备结合基于第三密码计算生成的PMK对客户端进行PSK接入认证。
由以上可见,上述两个实施例提供的方案与现有技术相比,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
下面通过具体实施例对本申请实施例提供的接入认证方法进行详细介绍。
图1为本申请实施例提供的第一种接入认证方法的流程示意图,该方法应用于接入设备,包括:
S101:在客户端以第一密码作为PSK请求接入网络时,判断客户端是否满足认证条件,若不满足,执行S102,若满足,执行S103。
本领域技术人员可以理解的是,在以PSK方式进行接入认证时,需要在客户端和接入设备中均预先配置相同的密码,这一相同的密码可以称为默认密码。另外,上述默认密码也可以称之为:预先配置的PSK。
由于本申请实施例提供接入认证方法的目的是使得不同客户端不再基于相同的PSK进行PSK认证,也就是,不再希望各个客户端以默认密码为PMK进行PSK接入认证,即不再希望各个客户端以预先配置的PSK为PMK进行PSK接入认证。
基于此,上述认证条件可以认为是:使得各个客户端不以预先配置的PSK为PMK进行PSK接入认证的条件。
上述第一密码为:客户端请求接入网络时使用的密码。
客户端在请求接入网络时会使用密码,也就是上述第一密码。上述第一密码可能是前述默认密码,也就是预先配置的PSK,如,客户端第一次请求接入网络时;上述第一密码还可能是接入设备为客户端分配的已失效的一个接入密码,如,接入设备为客户端分配的一个密码过期时;上述第一密码还可能是用户错误输入的一个密码等等。
S102:获得基于第二密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证,并在认证成功的情况下,为客户端分配接入密码,作为第三密码,并将第三密码通知至客户端,以使得客户端以第三密码作为PSK重新请求接入网络。
上述接入密码可以理解为:客户端成功接入网络需要使用的密码,也可以理解为:客户端在成功接入网络过程中进行PSK接入认证时用于计算PMK的密码。
上述接入设备为客户端分配接入密码时可以以随机分配方式为客户端分配密码。另外,所分配的密码可以具有有效期,例如,24小时等。所分配的密码在其有效期内称为有效接入密码,所分配的密码不在其有效期则称为已失效接入密码。
其中,上述有效期可以采用多种方式开始计时,例如,从成功分配密码之后开始计时,从客户端基于上述分配的密码成功接入网络开始计时、从客户端基于上述分配的密码成功接入网络后第一次断开网络开始计时等等。本申请仅仅以上述为例进行说明,并不限定有效期的计时方式。
本申请的一个实施例中,接入设备将上述第三密码通知至客户端时,可以以向客户端发送页面信息的方式通知客户端,上述页面信息中包括上述第三密码,还可以包括上述第三密码的有效期等信息。这样客户端接收到上述页面信息后,可以从页面信息中获得上述第三密码、第三密码的有效期等信息。
另外,接入设备为客户端分配上述第三密码后,在第三密码的有效期内,第三密码为客户端接入网络的有效接入密码,为此,接入设备可以在其本地存储上述第三密码以便于以第三密码为PMK对客户端进行PSK接入认证。接入设备在其本地存储上述第三密码时,可以将上述第三密码与客户端的MAC(Media Access Control,媒体访问控制)地址以绑定的方式存储,这样对客户端进行PSK接入认证时,可以根据客户端的MAC地址从接入设备本地确定出客户端当前有效的接入密码。
基于上述情况,本申请的一个实施例中,由于上述第三密码具有有效期,当超过第三密码的有效期时,第三密码由有效接入密码变为已失效接入密码,这种情况下,可以直接将第三密码设置为已失效接入密码,但是依然存储在接入设备中,也可以将第三密码设置为已失效接入密码一段时间后删除该第三密码。
由于接入设备中存储有客户端接入网络的预先配置的PSK,接入设备又会存储有接入设备为客户端分配的接入密码,且所分配的接入密码过期后也有可能依然存储在接入设备中,因此,接入设备中存储有上述客户端用于接入网络的至少两个密码。
上述第二密码包括:预先配置的PSK和/或接入设备为客户端分配的已失效接入密码。
本申请的一个实施例中,上述第二密码包括:预先配置的PSK和/或接入设备为客户端分配的最近失效的接入密码。
在上述第二密码包括预先配置的PSK和接入设备为客户端分配的最近失效的接入密码两个密码时,结合所获得的PMK对客户端进行PSK接入认证,包括下述两次接入认证:
第一次接入认证:以基于预先配置的PSK计算生成的PMK对客户端进行PSK接入认证;
第二次接入认证:以基于接入设备为客户端分配的最近失效的接入密码计算生成的PMK对客户端进行PSK接入认证。
上述两次接入认证中只要存在一次认证成功的情况,即可认为对客户端进行PSK接入认证成功。
具体的,基于第二密码计算生成PMK时,可以是采用第二密码和SSID(Service SetIdentifier,服务集标识)计算生成PMK。
从前面的描述可以看出,第二密码可能存在一个以上密码,因此,获得基于第二密码计算生成的PMK时,可以获得一个以上PMK,也就是,一个第二密码对应一个PMK。
S103:获得基于第三密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证。
具体的,从前述描述中可以得知,S102中接入设备将上述第三密码通知至客户端后,客户端需要以上述第三密码作为PSK重新请求接入网络,这种情况下,接入设备会再次执行上述S101,由于接入设备已经为客户端分配了第三密码,客户端可以不再以预先配置的PSK为PMK请求进行PSK接入认证,因此客户端满足认证条件,执行S103。又由于客户端重新请求接入网络时,是以上述第三密码作为PSK请求的,也就是客户端使用的第一密码的取值实际为上述第三密码,所以本次执行S103时,对客户端进行PSK接入认证成功。至此在接入设备判定客户端不满足认证条件时,完成了对客户端进行PSK接入认证的完整过程。
本申请的一个实施例中,客户端以上述第三密码作为PSK重新请求接入网络,可以是接入设备触发的。当接入设备为客户端分配上述第三密码后,可以迫使客户端下线,也就是迫使客户端断开网络,从而触发客户端基于第三密码重新请求接入网络。
客户端以上述第三密码作为PSK重新请求接入网络,还可以是客户端自身触发的,客户端获得上述第三密码后,可以主动下线,也就是主动断开网络,从而触发客户端基于第三密码重新请求接入网络。
由以上可见,本实施例提供的方案中,客户端以第一密码作为PSK请求接入网络时,若接入设备判断客户端不满足认证条件,获得基于第二密码计算生成的PMK,并结合所获得的PMK对客户端进行PSK接入认证,在认证成功的情况下,为客户端分配接入密码,并将所分配的接入密码通知至客户端,客户端基于上述分配的接入密码重新请求接入网络;而在接入设备判断客户端满足认证条件时,获得基于上述分配的接入密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证。与现有技术相比,本实施例提供的方案中,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
本申请的一个实施例中,上述S101判断客户端是否满足认证条件可以通过以下方式实现:
判断上述接入设备本地是否存储有上述客户端的表项信息,在未存储有上述表项信息时,说明上述客户端首次请求接入网络,或者上述客户端接入网络并下线后,因超时,上述客户端的表项信息已被移除,这种情况下,客户端无法使用预先配置的PSK以外的密码接入网络,因此,可以判定客户端不满足认证条件。
其中,上述客户端的表项信息可以理解为:客户端通过上述接入设备接入网络所使用的信息而形成表项包含的信息。例如,上述表项包含的信息中可以包括:客户端的MAC地址、接入设备为客户端分配的接入密码、接入设备为客户端分配的密码的有效期等等。
在上述接入设备本地存储有上述客户端的表项信息时,接入设备已为客户端分配过接入密码,但是所分配的接入密码可能仍然在有效期内,也可能已经超过有效期,为此需要判断是否存在接入设备为客户端分配的有效接入密码,若存在有效接入密码,说明接入设备为客户端分配的接入密码仍然可以用于计算生成PMK,进行PSK接入认证,因此可以判定客户端满足认证条件,若不存在有效接入密码,说明接入设备为客户端分配的接入密码已过期,不能继续用于计算生成PMK,也就不能用于PSK接入认证,因此可以判定客户端不满足认证条件。
具体的,判断是否存在接入设备为客户端分配的有效接入密码时,可以先通过客户端的MAC地址获得接入设备已为客户端分配的接入密码,然后判断所获得的接入密码是否在其有效期内。
本申请的一个实施例中,在第三密码为有效接入密码、且对客户端进行PSK接入认证失败的情况下,若确定上述客户端以预先配置的PSK再次请求接入网络后,还可以将第三密码重新通知至客户端;或者
确定上述客户端以预先配置的PSK再次请求接入网络后,重新为客户端分配接入密码,设置第三密码为已失效接入密码,并将重新分配的接入密码通知至客户端。
当第三密码为有效密码、且结合第三密码计算生成的PMK对客户端进行PSK接入认证失败时,说明用户可能出现了忘记密码的情况,为保证客户端能够正常接入网络,本实施例中将上述还在有效期内的第三密码重新通知至客户端,使得客户端能够继续使用第三密码接入网络,或者重新为客户端分配接入密码,使得客户端以重新分配的密码接入网络。这样可以在用户忘记密码的情况,能够保证客户端及时获得接入密码,进而接入网络。
本申请的一个实施例中,上述接入认证方法还可以包括:
为客户端分配第三密码预设时长后,重新为客户端分配接入密码,作为第四密码,设置第三密码为已失效接入密码,并将第四密码通知至客户端。
也就是说,本实施例提供的方案中接入设备采用周期性方式为客户端分配接入密码,这样由接入设备主动按照时间周期为客户端分配接入密码,减少了客户端基于接入密码接入网络时出现密码过期的情况。
本申请的一个实施例中,参见图2,提供了一种接入认证过程的信令示意图,本实施例中,上述S102中,获得基于第二密码计算生成的PMK,基于所获得的PMK对客户端进行PSK接入认证时,包括:
S102A:向客户端发送第一报文。
其中,上述第一报文中携带:接入设备生成的第二随机数。
具体的,上述第二随机数为:接入设备只使用一次的数值。也就是,接入设备仅仅一次将上述第二随机数作为报文的一部分发送至客户端。该第二随机数的类型包括:时间戳、大随机数和序列号。另外,上述第二随机数也可以称为Anonce。
S102B:接收客户端发送的第二报文。
其中,上述第二报文中携带:客户端生成的第一随机数和第一MIC,第一MIC(Message Integrity Code,消息完整性校验码)为:根据第一PTK(Pairwise TransientKey,成对临时密钥)计算得到的MIC,第一PTK为:根据第一随机数、第二随机数和第一PMK生成的PTK,第一PMK为:根据第一密码计算得到的PMK。
与上述第二随机数类似,上述第一随机数为:客户端只使用一次的数值。也就是,客户端仅仅一次将上述第一随机数作为报文的一部分发送至接入设备。
S102C:根据第一随机数和第二随机数,获得预先配置的PSK对应的PTK和第二PMK对应的PTK。
其中,第二PMK为:根据目标密码分别计算得到的PMK,目标密码为:接入设备本地存在的、且已为客户端分配的接入密码。
具体的,根据第一随机数和第二随机数,获得预先配置的PSK对应的PTK和第二PMK对应的PTK时,可以使用PRF(Pseudo random function,伪随机函数)产生。由于产生PTK的过程与现有技术相同,这里不再赘述。
由于接入设备为客户端分配的每一接入密码具有一定有效期,随着时间的推移,各个接入密码可能会到期,这种情况下,为保证客户端顺利接入网络,接入设备可以重新分配接入密码,为此,接入设备中除存储有和客户端相同的、预先配置的PSK外,还可能存储有为客户端分配的多个接入密码。
这样的情况下,接入设备可以通过多个PMK对客户端进行PSK接入认证。
S102D:以所获得的PTK分别对第一MIC进行校验。
S102E:若所获得的PTK中存在对第一MIC校验成功的PTK,向客户端发送第三报文。
其中,第三报文携带:用于表示是否安装加密/整体性密钥的标识信息、第三PTK和第二MIC,第三PTK为:所获得的PTK中对第一MIC校验成功的PTK,第二MIC为:根据第三PTK计算得到的MIC。
S102F:接收客户端发送的第四报文。
其中,第四报文中携带:安装确认信息和第一MIC。
本申请的一个实施例中,上述第一报文、第二报文、第三报文和第四报文可以是:EAPOL-Key消息。
本申请的一个实施例中,接入设备判定客户端首次请求接入网络的情况下,为客户端分配第三密码后,可以先将上述第三密码发送至接入审核设备,在审核设备对使用客户端的用户审核通过后,再将上述第三密码通知至客户端。具体的,这种情况下将第三密码通知至客户端时,可以由上述接入设备通知,也可以由上述审核设备通知,本申请并不对此进行限定。
具体的,接入设备可以维护一个客户端列表,当每一客户端向接入设备请求接入网络,并进行PSK认证成功后,将这一客户端的信息添加至上述客户端列表中,基于此,判断客户端是否首次请求接入网络时,可以通过上述客户端列表判断客户端是否首次请求接入网络。
与上述应用于接入设备的接入认证方法相对应,本申请实施例还提供了一种应用于客户端的接入认证方法。
图3为本申请实施例提供的第二种接入认证方法的流程示意图,该方法应用于客户端,包括:
S201:以第一密码作为PSK向接入设备请求接入网络。
本领域技术人员可以理解的是,在以PSK方式进行接入认证时,需要在客户端和接入设备中均预先配置相同的密码,这一相同的密码可以称为默认密码。另外,上述默认密码也可以称之为:预先配置的PSK。
客户端在请求接入网络时会使用密码,也就是上述第一密码。上述第一密码可能是前述预先配置的PSK,如,客户端第一次请求接入网络时;上述第一密码还可能是接入设备为客户端分配的已失效的一个接入密码,如,接入设备为客户端分配的一个密码过期时;上述第一密码还可能是用户错误输入的一个密码等等。
S202:获得接入设备通知的第三密码。
其中,第三密码为:接入设备判断客户端不满足认证条件的情况下,结合基于第二密码计算生成的PMK对客户端进行PSK接入认证成功后,为客户端分配的接入密码,第二密码包括:预先配置的PSK和/或接入设备为客户端分配的已失效接入密码。
本申请的一个实施例中,上述第二密码包括:预先配置的PSK和/或接入设备为客户端分配的最近失效的接入密码。
本申请的一个实施例中,接入设备可以以向客户端发送页面信息的方式,向客户端通知上述第三密码,上述页面信息中包括上述第三密码,还可以包括上述第三密码的有效期等信息。这样客户端接收到上述页面信息后,可以从页面信息中获得上述第三密码、第三密码的有效期等信息。
S203:以第三密码作为PSK向接入设备重新请求接入网络,以使得接入设备结合基于第三密码计算生成的PMK对客户端进行PSK接入认证。
具体的,客户端以上述第三密码作为PSK重新请求接入网络,可以是接入设备触发的。当接入设备为客户端分配上述第三密码后,可以迫使客户端下线,也就是迫使客户端断开网络,从而触发客户端基于第三密码重新请求接入网络。
客户端以上述第三密码作为PSK重新请求接入网络,还可以是客户端自身触发的,客户端获得上述第三密码后,可以主动下线,也就是主动断开网络,从而触发客户端基于第三密码重新请求接入网络。
由以上可见,本实施例提供的方案中,客户端以第一密码作为PSK请求接入网络时,若接入设备判断客户端不满足认证条件,获得基于第二密码计算生成的PMK,并结合所获得的PMK对客户端进行PSK接入认证,在认证成功的情况下,为客户端分配接入密码,并将所分配的接入密码通知至客户端,客户端基于上述分配的接入密码重新请求接入网络;而在接入设备判断客户端满足认证条件时,获得基于上述分配的接入密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证。与现有技术相比,本实施例提供的方案中,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
本申请的一个实施例中,上述接入认证方法还可以包括:
获得接入设备通知的第四密码,其中,第四密码为:接入设备为客户端分配第三密码预设时长后重新为所述客户端分配的接入密码。
也就是说,本实施例提供的方案中接入设备采用周期性方式为客户端分配接入密码,这样由接入设备主动按照时间周期为客户端分配接入密码,减少了客户端基于接入密码接入网络时出现密码过期的情况。
需要说明的是,上述各个应用于客户端的接入认证实施例中涉及的相关内容,与前述各个应用于接入设备的接入认证实施例中相同,可以互相参照,这里不再赘述。
下面通过具体实例,对本申请实施例提供的接入认证方法进行介绍。
假设,客户端A和接入设备中配置的预先配置的PSK为“12345678”,也就是,预先配置的PSK为“12345678”。
第一种情况,客户端A首次请求接入网络
客户端A首次向接入设备请求接入网络时,接入设备还未为客户端A分配过接入密码,客户端A只能以预先配置的PSK“12345678”作为PSK请求接入网络。接入设备获知客户端A请求接入网络后,可以在其自身维护的客户端列表中查询,发现并未记录客户端A的表项信息,客户端A不满足认证条件,另外,也说明客户端A为首次请求接入网络,结合基于接入设备本地记录的预先配置的PSK“12345678”计算生成的PMK,通过四次握手协商,对客户端A进行PSK接入认证,认证成功,为客户端A随机分配一个接入密码,假设,该接入密码为“a1b2c3d4”,将客户端A的MAC地址和上述接入密码“a1b2c3d4”在接入设备本地对应存储,将客户端A的信息存储至上述客户端列表,并将接入密码“a1b2c3d4”通知至客户端A,迫使客户端A下线。
客户端A获得到上述接入密码“a1b2c3d4”,并发现被迫下线之后,以接入密码“a1b2c3d4”作为PSK向接入设备重新请求接入网络。接入设备发现客户端A请求接入网络后,查询客户端列表,发现记录有客户端A的表项信息,客户端A满足认证条件,由于客户端A非首次请求接入网络,且根据客户端A的MAC地址发现接入设备本地存储有客户端A的有效接入密码“a1b2c3d4”,结合基于接入设备本地存储的接入密码“a1b2c3d4”计算生成的PMK,通过四次握手协商,对客户端A进行PSK认证。对客户端A进行PSK认证过程中,对客户端发送的MIC进行验证时,分别以基于“a1b2c3d4”计算生成的PMK对应的PTK、基于“12345678”计算生成的PMK对应的PTK对上述MIC进行验证,可以得知,以基于“a1b2c3d4”计算生成的PMK对应的PTK对上述MIC验证成功,进而认证成功,完成对客户端A的接入认证。
第二种情况,接入密码“a1b2c3d4”到期
客户端A以接入密码“a1b2c3d4”作为PSK向接入设备请求接入网络。接入设备发现客户端A请求接入网络后,查询客户端列表,发现记录有客户端A的表项信息,客户端A满足认证条件,由于客户端A并非首次请求接入网络,且根据客户端A的MAC地址发现接入设备本地未存储有客户端A的有效接入密码,客户端A最近失效的接入密码为“a1b2c3d4”、预先配置的PSK为“12345678”,则结合基于接入设备本地存储的客户端A最近失效的接入密码“a1b2c3d4”计算生成的PMK,通过四次握手协商,完成PSK认证。对客户端A进行PSK认证过程中,对客户端发送的MIC进行验证时,分别以基于“a1b2c3d4”计算生成的PMK对应的PTK和基于“12345678”计算生成的PMK对应的PTK对上述MIC进行验证,可以得知,基于“a1b2c3d4”计算生成的PMK对应的PTK对上述MIC验证成功,进而认证成功,为客户端A随机分配一个接入密码,假设,该接入密码为“aabbccddee”,将客户端A的MAC地址和上述接入密码“aabbccddee”在接入设备本地对应存储,并将接入密码“aabbccddee”通知至客户端A,迫使客户端A下线。
客户端A获得到上述接入密码“aabbccddee”,并发现被迫下线之后,基于接入密码“aabbccddee”向接入设备重新请求接入网络。接入设备发现客户端A请求接入网络后,查询客户端列表,发现记录有客户端A的表项信息,客户端A满足认证条件,由于客户端A并非首次请求接入网络,且根据客户端A的MAC地址发现接入设备本地存储有客户端A的有效接入密码“aabbccddee”,结合基于接入设备本地存储的接入密码“aabbccddee”计算生成的PMK,通过四次握手协商,对客户端A进行PSK认证。对客户端A进行PSK认证过程中,对客户端发送的MIC进行验证时,分别以基于“aabbccddee”计算生成的PMK对应的PTK、以基于“a1b2c3d4”计算生成的PMK对应的PTK、基于“12345678”计算生成的PMK对应的PTK对上述MIC进行验证,可以得知,以基于“aabbccddee”计算生成的PMK对应的PTK对上述MIC验证成功,进而认证成功,完成对客户端A的接入认证。
第三种情况,用户忘记密码
用户通过其他密码接入网络失败后,发现忘记密码,使用预先配置的PSK“12345678”接入网络,这种情况下,客户端A以预先配置的PSK“12345678”作为PSK请求接入网络。接入设备发现客户端A请求接入网络后,查询客户端列表,发现记录有客户端A的表项信息,客户端A满足认证条件,由于客户端A并非首次请求接入网络,且根据客户端A的MAC地址发现接入设备本地存储有客户端A的有效接入密码“aabbccddee”,结合基于接入设备本地存储的接入密码“aabbccddee”计算生成的PMK,通过四次握手协商,完成PSK认证。对客户端A进行PSK认证过程中,对客户端发送的MIC进行验证时,分别以基于“aabbccddee”计算生成的PMK对应的PTK、以基于“a1b2c3d4”计算生成的PMK对应的PTK、基于“12345678”计算生成的PMK对应的PTK对上述MIC进行验证,可以得知,以基于“12345678”计算生成的PMK对应的PTK对上述MIC验证成功,进而认证成功。
由于接入密码“aabbccddee”处于有效期内情况下,用户使用预先配置的PSK“12345678”接入网络,接入设备可以认为用户忘记了密码,因此,接入设备可以将上述处于有效期内的接入密码“aabbccddee”再次通知至客户端。
客户端A重新获得到上述接入密码“aabbccddee”后,以接入密码“aabbccddee”作为PSK向接入设备重新请求接入网络。接入设备发现客户端A请求接入网络后,查询客户端列表,发现记录有客户端A的表项信息,客户端A满足认证条件,由于客户端A并非首次请求接入网络,且根据客户端A的MAC地址发现接入设备本地存储有客户端A的有效接入密码“aabbccddee”,集合基于接入设备本地存储的接入密码“aabbccddee”计算生成的PMK,通过四次握手协商,对客户端A进行PSK认证。认证成功,对客户端A进行PSK认证过程中,对客户端发送的MIC进行验证时,分别以基于“aabbccddee”计算生成的PMK对应的PTK、以基于“a1b2c3d4”计算生成的PMK对应的PTK、基于“12345678”计算生成的PMK对应的PTK对上述MIC进行验证,可以得知,以基于“aabbccddee”计算生成的PMK对应的PTK对上述MIC验证成功,进而完成对客户端A的接入认证。
与上述应用于接入设备的接入认证方法相对应,本申请实施例还提供了一种应用于接入设备的接入认证装置。
图4为本申请实施例提供的第一种接入认证装置的结构示意图,该装置应用于接入设备,包括:
条件判断模块301,用于在客户端以第一密码作为预共享密钥PSK请求接入网络时,判断所述客户端是否满足认证条件,若不满足,触发第一接入认证模块302,若满足,触发第二接入认证模块304,其中,所述第一密码为:所述客户端请求接入网络时使用的密码;
所述第一接入认证模块302,用于获得基于第二密码计算生成的成对主密钥PMK,结合所获得的PMK对所述客户端进行PSK接入认证,其中,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
密码分配模块303,用于在认证成功的情况下,为所述客户端分配接入密码,作为第三密码,并将所述第三密码通知至所述客户端,以使得所述客户端以所述第三密码作为PSK重新请求接入网络
所述第二接入认证模块304,用于获得基于所述第三密码计算生成的PMK,结合所获得的PMK对所述客户端进行PSK接入认证。
本申请的一个实施例中,所述条件判断模块301,包括:
请求判断单元,用于在客户端请求接入网络时,判断所述接入设备本地是否存储有所述客户端的表项信息,若未存储所述表项信息,触发第一条件判定单元,若存储有所述表项信息,触发密码判断单元;
所述第一条件判定单元,用于判定所述客户端不满足认证条件;
所述密码判断单元,用于判断是否存在所述接入设备为所述客户端分配的有效接入密码,若存在,触发第二条件判定单元,若不存在,触发所述第一条件判定单元;
所述第二条件判定单元,用于判定所述客户端满足认证条件。
本申请的一个实施例中,上述接入认证装置还可以包括:
第一密码通知模块,用于在所述第三密码为有效接入密码、且对所述客户端进行PSK接入认证失败的情况下,
确定所述客户端端以预先配置的PSK再次请求接入网络时,将所述第三密码重新通知至所述客户端;或者
确定所述客户端端以预先配置的PSK再次请求接入网络时,重新为所述客户端分配接入密码,设置所述第三密码为已失效接入密码,并将重新分配的接入密码通知至所述客户端。
本申请的一个实施例中,上述接入认证装置还可以包括:
第二密码通知模块,用于为所述客户端分配所述第三密码预设时长后,重新为所述客户端分配接入密码,作为第四密码,设置所述第三密码为已失效接入密码,并将所述第四密码通知至所述客户端。
本申请的一个实施例中,所述第一接入认证模块302,包括:
第一报文发送单元,用于向所述客户端发送第一报文,其中,所述第一报文中携带:所述接入设备生成的第二随机数;
第二报文接收单元,用于接收所述客户端发送的第二报文,其中,所述第二报文中携带:所述客户端生成的第一随机数和第一消息完整性校验码MIC,所述第一MIC为:根据第一成对临时密钥PTK计算得到的MIC,所述第一PTK为:根据所述第一随机数、第二随机数和第一PMK生成的PTK,所述第一PMK为:根据所述第一密码计算得到的PMK;
PTK获得单元,用于根据所述第一随机数和第二随机数,获得预先配置的PSK对应的PTK和第二PMK对应的PTK,其中,所述第二PMK为:根据目标密码分别计算得到的PMK,所述目标密码为:所述接入设备本地存在的、且已为所述客户端分配的接入密码;
第三报文发送单元,用于以所获得的PTK分别对所述第一MIC进行校验,若所获得的PTK中存在对所述第一MIC校验成功的PTK,向所述客户端发送第三报文,其中,所述第三报文携带:用于表示是否安装加密/整体性密钥的标识信息、第三PTK和第二MIC,所述第三PTK为:所获得的PTK中对所述第一MIC校验成功的PTK,所述第二MIC为:根据所述第三PTK计算得到的MIC;
第四报文接收单元,用于接收所述客户端发送的第四报文,其中,所述第四报文中携带:安装确认信息和所述第一MIC。
由以上可见,上述各个实施例提供的方案中,客户端以第一密码作为PSK请求接入网络时,若接入设备判断客户端不满足认证条件,获得基于第二密码计算生成的PMK,并结合所获得的PMK对客户端进行PSK接入认证,在认证成功的情况下,为客户端分配接入密码,并将所分配的接入密码通知至客户端,客户端基于上述分配的接入密码重新请求接入网络;而在接入设备判断客户端满足认证条件时,获得基于上述分配的接入密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证。与现有技术相比,上述各个实施例提供的方案中,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
与上述应用于客户端的接入认证方法相对应,本申请实施例还提供了一种应用于客户端的接入认证装置。
图5为本申请实施例提供的第二种接入认证装置的结构示意图,该装置应用于客户端,所述装置包括:
第一接入请求模块401,用于以第一密码作为PSK向接入设备请求接入网络;
第一密码获得模块402,用于获得所述接入设备通知的第三密码,其中,所述第三密码为:所述接入设备判断所述客户端不满足认证条件的情况下,结合基于第二密码计算生成的PMK对所述客户端进行PSK接入认证成功后,为所述客户端分配的接入密码,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
第二接入请求模块403,用于以所述第三密码作为PSK向所述接入设备重新请求接入网络,以使得所述接入设备结合基于所述第三密码计算生成的PMK对所述客户端进行PSK接入认证。
本申请的一个实施例中,上述接入认证装置还可以包括:
第二密码获得模块,用于获得所述接入设备通知的第四密码,其中,所述第四密码为:所述接入设备为所述客户端分配所述第三密码预设时长后重新为所述客户端分配的接入密码。
由以上可见,上述各个实施例提供的方案中,客户端以第一密码作为PSK请求接入网络时,若接入设备判断客户端不满足认证条件,获得基于第二密码计算生成的PMK,并结合所获得的PMK对客户端进行PSK接入认证,在认证成功的情况下,为客户端分配接入密码,并将所分配的接入密码通知至客户端,客户端基于上述分配的接入密码重新请求接入网络;而在接入设备判断客户端满足认证条件时,获得基于上述分配的接入密码计算生成的PMK,结合所获得的PMK对客户端进行PSK接入认证。与现有技术相比,上述各个实施例提供的方案中,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
与前述应用于接入设备的接入认证方法相对应,本申请实施例还提供了一种接入设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现本申请实施例提供的应用于接入设备的接入认证方法。
本申请的一个实施例中,提供了一种接入认证方法,应用于接入设备,所述方法包括:
在客户端以第一密码作为预共享密钥PSK请求接入网络时,判断所述客户端是否满足认证条件,其中,所述第一密码为:所述客户端请求接入网络时使用的密码;
若不满足,获得基于第二密码计算生成的成对主密钥PMK,结合所获得的PMK对所述客户端进行PSK接入认证,并在认证成功的情况下,为所述客户端分配接入密码,作为第三密码,并将所述第三密码通知至所述客户端,以使得所述客户端以所述第三密码作为PSK重新请求接入网络,其中,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
若满足,获得基于所述第三密码计算生成的PMK,结合所获得的PMK对所述客户端进行PSK接入认证。
需要说明的是,上述处理器被机器可执行指令促使实现的接入认证方法的其他实施例,与前述方法实施例中提供的应用于接入设备的实施例相同,这里不再赘述。
由以上可见,本实施例提供的方案与现有技术相比,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
与前述应用于接入设备的接入认证方法相对应,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现本申请实施例提供的应用于接入设备的接入认证方法。
本申请的一个实施例中,提供了一种接入认证方法,应用于接入设备,所述方法包括:
在客户端以第一密码作为预共享密钥PSK请求接入网络时,判断所述客户端是否满足认证条件,其中,所述第一密码为:所述客户端请求接入网络时使用的密码;
若不满足,获得基于第二密码计算生成的成对主密钥PMK,结合所获得的PMK对所述客户端进行PSK接入认证,并在认证成功的情况下,为所述客户端分配接入密码,作为第三密码,并将所述第三密码通知至所述客户端,以使得所述客户端以所述第三密码作为PSK重新请求接入网络,其中,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
若满足,获得基于所述第三密码计算生成的PMK,结合所获得的PMK对所述客户端进行PSK接入认证。
需要说明的是,上述机器可执行指令促使处理器实现的接入认证方法的其他实施例,与前述方法实施例中提供的应用于接入设备的实施例相同,这里不再赘述。
由以上可见,本实施例提供的方案与现有技术相比,通过执行机器可读存储介质中存储的机器可执行指令,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
与前述应用于客户端的接入认证方法相对应,本申请实施例还提供了一种客户端,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现本申请实施例提供的应用于客户端的接入认证方法。
本申请的一个实施例中,提供了一种接入认证方法,应用于客户端,所述方法包括:
以第一密码作为PSK向接入设备请求接入网络;
获得所述接入设备通知的第三密码,其中,所述第三密码为:所述接入设备判断所述客户端不满足认证条件的情况下,结合基于第二密码计算生成的PMK对所述客户端进行PSK接入认证成功后,为所述客户端分配的接入密码,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
以所述第三密码作为PSK向所述接入设备重新请求接入网络,以使得所述接入设备结合基于所述第三密码计算生成的PMK对所述客户端进行PSK接入认证。
需要说明的是,上述处理器被机器可执行指令促使实现的接入认证方法的其他实施例,与前述方法实施例中提供的应用于客户端的实施例相同,这里不再赘述。
由以上可见,本实施例提供的方案与现有技术相比,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
与前述应用于客户端的接入认证方法相对应,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现本申请实施例提供的应用于客户端的接入认证方法。
本申请的一个实施例中,提供了一种接入认证方法,应用于客户端,所述方法包括:
以第一密码作为PSK向接入设备请求接入网络;
获得所述接入设备通知的第三密码,其中,所述第三密码为:所述接入设备判断所述客户端不满足认证条件的情况下,结合基于第二密码计算生成的PMK对所述客户端进行PSK接入认证成功后,为所述客户端分配的接入密码,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
以所述第三密码作为PSK向所述接入设备重新请求接入网络,以使得所述接入设备结合基于所述第三密码计算生成的PMK对所述客户端进行PSK接入认证。
需要说明的是,上述机器可执行指令促使处理器实现的接入认证方法的其他实施例,与前述方法实施例中提供的应用于客户端的实施例相同,这里不再赘述。
由以上可见,本实施例提供的方案与现有技术相比,通过执行机器可读存储介质中存储的机器可执行指令,接入设备会结合客户端的具体情况为客户端分配接入密码,因此,不同客户端在进行PSK接入认证时,不会再基于相同PSK,从而降低了密码泄露或者被破解的风险。
需要说明的是,上述接入设备和客户端中的机器可读存储介质可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-VolatileMemory,NVM),例如至少一个磁盘存储器。可选的,上述机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、接入设备、客户端及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (16)

1.一种接入认证方法,其特征在于,应用于接入设备,所述方法包括:
在客户端以第一密码作为预共享密钥PSK请求接入网络时,判断所述客户端是否满足认证条件,其中,所述第一密码为:所述客户端请求接入网络时使用的密码;
若不满足,获得基于第二密码计算生成的成对主密钥PMK,结合所获得的PMK对所述客户端进行PSK接入认证,并在认证成功的情况下,为所述客户端分配接入密码,作为第三密码,并将所述第三密码通知至所述客户端,以使得所述客户端以所述第三密码作为PSK重新请求接入网络,其中,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
若满足,获得基于所述第三密码计算生成的PMK,结合所获得的PMK对所述客户端进行PSK接入认证;
所述认证条件为:使得所述客户端不以预先配置的PSK为PMK进行PSK接入认证的条件;所述判断所述客户端是否满足认证条件,包括:
判断所述接入设备本地是否存储有所述客户端的表项信息;
若未存储所述表项信息,判定所述客户端不满足认证条件;
若存储有所述表项信息,判断是否存在所述接入设备为所述客户端分配的有效接入密码;
若存在,判定所述客户端满足认证条件;
若不存在,判定所述客户端不满足认证条件。
2.根据权利要求1所述的方法,其特征在于,在所述第三密码为有效接入密码、且对所述客户端进行PSK接入认证失败的情况下,还包括:
确定所述客户端端以预先配置的PSK再次请求接入网络时,将所述第三密码重新通知至所述客户端;或者
确定所述客户端端以预先配置的PSK再次请求接入网络时,重新为所述客户端分配接入密码,设置所述第三密码为已失效接入密码,并将重新分配的接入密码通知至所述客户端。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述方法还包括:
为所述客户端分配所述第三密码预设时长后,重新为所述客户端分配接入密码,作为第四密码,设置所述第三密码为已失效接入密码,并将所述第四密码通知至所述客户端。
4.根据权利要求1-2中任一项所述的方法,其特征在于,所述获得基于第二密码计算生成的PMK,结合所获得的PMK对所述客户端进行PSK接入认证,包括:
向所述客户端发送第一报文,其中,所述第一报文中携带:所述接入设备生成的第二随机数;
接收所述客户端发送的第二报文,其中,所述第二报文中携带:所述客户端生成的第一随机数和第一消息完整性校验码MIC,所述第一MIC为:根据第一成对临时密钥PTK计算得到的MIC,所述第一PTK为:根据所述第一随机数、第二随机数和第一PMK生成的PTK,所述第一PMK为:根据所述第一密码计算得到的PMK;
根据所述第一随机数和第二随机数,获得预先配置的PSK对应的PTK和第二PMK对应的PTK,其中,所述第二PMK为:根据目标密码分别计算得到的PMK,所述目标密码为:所述接入设备本地存在的、且已为所述客户端分配的接入密码;
以所获得的PTK分别对所述第一MIC进行校验,若所获得的PTK中存在对所述第一MIC校验成功的PTK,向所述客户端发送第三报文,其中,所述第三报文携带:用于表示是否安装加密/整体性密钥的标识信息、第三PTK和第二MIC,所述第三PTK为:所获得的PTK中对所述第一MIC校验成功的PTK,所述第二MIC为:根据所述第三PTK计算得到的MIC;
接收所述客户端发送的第四报文,其中,所述第四报文中携带:安装确认信息和所述第一MIC。
5.一种接入认证方法,其特征在于,应用于客户端,所述方法包括:
以第一密码作为PSK向接入设备请求接入网络;
获得所述接入设备通知的第三密码,其中,所述第三密码为:所述接入设备判断所述客户端不满足认证条件的情况下,结合基于第二密码计算生成的PMK对所述客户端进行PSK接入认证成功后,为所述客户端分配的接入密码,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;其中,所述认证条件为:使得所述客户端不以预先配置的PSK为PMK进行PSK接入认证的条件;所述接入设备通过以下步骤判断所述客户端不满足认证条件:判断所述接入设备本地是否存储有所述客户端的表项信息;若未存储所述表项信息,判定所述客户端不满足认证条件;若存储有所述表项信息,判断是否存在所述接入设备为所述客户端分配的有效接入密码;若不存在,判定所述客户端不满足认证条件;
以所述第三密码作为PSK向所述接入设备重新请求接入网络,以使得所述接入设备结合基于所述第三密码计算生成的PMK对所述客户端进行PSK接入认证。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
获得所述接入设备通知的第四密码,其中,所述第四密码为:所述接入设备为所述客户端分配所述第三密码预设时长后重新为所述客户端分配的接入密码。
7.一种接入认证装置,其特征在于,应用于接入设备,所述装置包括:
条件判断模块,用于在客户端以第一密码作为预共享密钥PSK请求接入网络时,判断所述客户端是否满足认证条件,若不满足,触发第一接入认证模块,若满足,触发第二接入认证模块,其中,所述第一密码为:所述客户端请求接入网络时使用的密码;
所述第一接入认证模块,用于获得基于第二密码计算生成的成对主密钥PMK,结合所获得的PMK对所述客户端进行PSK接入认证,其中,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;
密码分配模块,用于在认证成功的情况下,为所述客户端分配接入密码,作为第三密码,并将所述第三密码通知至所述客户端,以使得所述客户端以所述第三密码作为PSK重新请求接入网络;
所述第二接入认证模块,用于获得基于所述第三密码计算生成的PMK,结合所获得的PMK对所述客户端进行PSK接入认证;
所述条件判断模块,包括:
请求判断单元,用于在客户端请求接入网络时,判断所述接入设备本地是否存储有所述客户端的表项信息,若未存储所述表项信息,触发第一条件判定单元,若存储有所述表项信息,触发密码判断单元;
所述第一条件判定单元,用于判定所述客户端不满足认证条件;所述认证条件为:使得所述客户端不以预先配置的PSK为PMK进行PSK接入认证的条件;
所述密码判断单元,用于判断是否存在所述接入设备为所述客户端分配的有效接入密码,若存在,触发第二条件判定单元,若不存在,触发所述第一条件判定单元;
所述第二条件判定单元,用于判定所述客户端满足认证条件。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一密码通知模块,用于在所述第三密码为有效接入密码、且对所述客户端进行PSK接入认证失败的情况下,
确定所述客户端端以预先配置的PSK再次请求接入网络时,将所述第三密码重新通知至所述客户端;或者
确定所述客户端端以预先配置的PSK再次请求接入网络时,重新为所述客户端分配接入密码,设置所述第三密码为已失效接入密码,并将重新分配的接入密码通知至所述客户端。
9.根据权利要求7-8任一项所述的装置,其特征在于,所述装置还包括:
第二密码通知模块,用于为所述客户端分配所述第三密码预设时长后,重新为所述客户端分配接入密码,作为第四密码,设置所述第三密码为已失效接入密码,并将所述第四密码通知至所述客户端。
10.根据权利要求7-8中任一项所述的装置,其特征在于,所述第一接入认证模块,包括:
第一报文发送单元,用于向所述客户端发送第一报文,其中,所述第一报文中携带:所述接入设备生成的第二随机数;
第二报文接收单元,用于接收所述客户端发送的第二报文,其中,所述第二报文中携带:所述客户端生成的第一随机数和第一消息完整性校验码MIC,所述第一MIC为:根据第一成对临时密钥PTK计算得到的MIC,所述第一PTK为:根据所述第一随机数、第二随机数和第一PMK生成的PTK,所述第一PMK为:根据所述第一密码计算得到的PMK;
PTK获得单元,用于根据所述第一随机数和第二随机数,获得预先配置的PSK对应的PTK和第二PMK对应的PTK,其中,所述第二PMK为:根据目标密码分别计算得到的PMK,所述目标密码为:所述接入设备本地存在的、且已为所述客户端分配的接入密码;
第三报文发送单元,用于以所获得的PTK分别对所述第一MIC进行校验,若所获得的PTK中存在对所述第一MIC校验成功的PTK,向所述客户端发送第三报文,其中,所述第三报文携带:用于表示是否安装加密/整体性密钥的标识信息、第三PTK和第二MIC,所述第三PTK为:所获得的PTK中对所述第一MIC校验成功的PTK,所述第二MIC为:根据所述第三PTK计算得到的MIC;
第四报文接收单元,用于接收所述客户端发送的第四报文,其中,所述第四报文中携带:安装确认信息和所述第一MIC。
11.一种接入认证装置,其特征在于,应用于客户端,所述装置包括:
第一接入请求模块,用于以第一密码作为PSK向接入设备请求接入网络;
第一密码获得模块,用于获得所述接入设备通知的第三密码,其中,所述第三密码为:所述接入设备判断所述客户端不满足认证条件的情况下,结合基于第二密码计算生成的PMK对所述客户端进行PSK接入认证成功后,为所述客户端分配的接入密码,所述第二密码包括:预先配置的PSK和/或所述接入设备为所述客户端分配的已失效接入密码;其中,所述认证条件为:使得所述客户端不以预先配置的PSK为PMK进行PSK接入认证的条件;所述接入设备通过以下步骤判断所述客户端不满足认证条件:判断所述接入设备本地是否存储有所述客户端的表项信息;若未存储所述表项信息,判定所述客户端不满足认证条件;若存储有所述表项信息,判断是否存在所述接入设备为所述客户端分配的有效接入密码;若不存在,判定所述客户端不满足认证条件;第二接入请求模块,用于以所述第三密码作为PSK向所述接入设备重新请求接入网络,以使得所述接入设备结合基于所述第三密码计算生成的PMK对所述客户端进行PSK接入认证。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
第二密码获得模块,用于获得所述接入设备通知的第四密码,其中,所述第四密码为:所述接入设备为所述客户端分配所述第三密码预设时长后重新为所述客户端分配的接入密码。
13.一种接入设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
14.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-4任一所述的方法步骤。
15.一种客户端,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求5-6任一所述的方法步骤。
16.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求5-6任一所述的方法步骤。
CN201810638997.1A 2018-06-20 2018-06-20 一种接入认证方法及装置 Active CN108769058B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810638997.1A CN108769058B (zh) 2018-06-20 2018-06-20 一种接入认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810638997.1A CN108769058B (zh) 2018-06-20 2018-06-20 一种接入认证方法及装置

Publications (2)

Publication Number Publication Date
CN108769058A CN108769058A (zh) 2018-11-06
CN108769058B true CN108769058B (zh) 2021-02-05

Family

ID=63979621

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810638997.1A Active CN108769058B (zh) 2018-06-20 2018-06-20 一种接入认证方法及装置

Country Status (1)

Country Link
CN (1) CN108769058B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7387275B2 (ja) * 2019-03-28 2023-11-28 キヤノン株式会社 通信装置、通信方法及びプログラム
CN114124160B (zh) * 2021-10-29 2023-03-28 宁波三星智能电气有限公司 适用于plc载波安全的一表一psk适配方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105827598A (zh) * 2016-03-11 2016-08-03 四川长虹电器股份有限公司 加强接入路由器WiFi安全的方法与系统
CN105898743A (zh) * 2015-06-17 2016-08-24 乐卡汽车智能科技(北京)有限公司 一种网络连接方法、装置及系统
CN106301772A (zh) * 2016-09-21 2017-01-04 北京小米移动软件有限公司 密码设置方法、装置及用于设置密码的装置
US9674892B1 (en) * 2008-11-04 2017-06-06 Aerohive Networks, Inc. Exclusive preshared key authentication
CN106954216A (zh) * 2017-04-28 2017-07-14 北京北信源软件股份有限公司 基于802.1x协议的认证方法及系统
CN107086999A (zh) * 2013-09-13 2017-08-22 华为终端有限公司 无线网络设备的处理方法、无线网络设备及其处理器

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9674892B1 (en) * 2008-11-04 2017-06-06 Aerohive Networks, Inc. Exclusive preshared key authentication
CN107086999A (zh) * 2013-09-13 2017-08-22 华为终端有限公司 无线网络设备的处理方法、无线网络设备及其处理器
CN105898743A (zh) * 2015-06-17 2016-08-24 乐卡汽车智能科技(北京)有限公司 一种网络连接方法、装置及系统
CN105827598A (zh) * 2016-03-11 2016-08-03 四川长虹电器股份有限公司 加强接入路由器WiFi安全的方法与系统
CN106301772A (zh) * 2016-09-21 2017-01-04 北京小米移动软件有限公司 密码设置方法、装置及用于设置密码的装置
CN106954216A (zh) * 2017-04-28 2017-07-14 北京北信源软件股份有限公司 基于802.1x协议的认证方法及系统

Also Published As

Publication number Publication date
CN108769058A (zh) 2018-11-06

Similar Documents

Publication Publication Date Title
US9867051B2 (en) System and method of verifying integrity of software
US8196186B2 (en) Security architecture for peer-to-peer storage system
CN112311735B (zh) 可信认证方法,网络设备、系统及存储介质
EP2765750B1 (en) Controlling application access to mobile device functions
US20170099148A1 (en) Securely authorizing client applications on devices to hosted services
US11689367B2 (en) Authentication method and system
JP7421771B2 (ja) Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体
KR102177794B1 (ko) 사물인터넷 블록체인 환경에서의 디바이스 분산 인증 방법 및 이를 이용한 디바이스 분산 인증 시스템
CN111064569B (zh) 可信计算集群的集群密钥获取方法及装置
EP3860036B1 (en) Key management method, security chip, service server and information system
EP3005205B1 (en) Distribution of licenses within the radius of a local device
CN110908786A (zh) 一种智能合约调用方法、装置及介质
US10298388B2 (en) Workload encryption key
CN103780580A (zh) 提供能力访问策略的方法、服务器和系统
CN113572791B (zh) 一种视频物联网大数据加密服务方法、系统及装置
JP7489069B2 (ja) Some/ip通信プロトコルを用いる乗物上におけるデータ又はメッセージの伝送の改良
CN108769058B (zh) 一种接入认证方法及装置
US11695751B2 (en) Peer-to-peer notification system
CN113569210A (zh) 分布式身份认证方法、设备访问方法及装置
CN110771087B (zh) 私钥更新
CN112261103A (zh) 一种节点接入方法及相关设备
CN112418850A (zh) 一种基于区块链的交易方法、装置及电子设备
CN114338091B (zh) 数据传输方法、装置、电子设备及存储介质
Ahmed et al. Transparency of SIM profiles for the consumer remote SIM provisioning protocol
CN113395289A (zh) 一种认证方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20230627

Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province

Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd.

Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466

Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right