CN109286932B - 入网认证方法、装置及系统 - Google Patents

入网认证方法、装置及系统 Download PDF

Info

Publication number
CN109286932B
CN109286932B CN201710595977.6A CN201710595977A CN109286932B CN 109286932 B CN109286932 B CN 109286932B CN 201710595977 A CN201710595977 A CN 201710595977A CN 109286932 B CN109286932 B CN 109286932B
Authority
CN
China
Prior art keywords
network access
equipment
user name
dynamic password
terminal equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710595977.6A
Other languages
English (en)
Other versions
CN109286932A (zh
Inventor
殷鸿展
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201710595977.6A priority Critical patent/CN109286932B/zh
Priority to TW107120281A priority patent/TWI756439B/zh
Priority to US16/632,316 priority patent/US11616775B2/en
Priority to PCT/CN2018/094933 priority patent/WO2019015500A1/zh
Publication of CN109286932A publication Critical patent/CN109286932A/zh
Application granted granted Critical
Publication of CN109286932B publication Critical patent/CN109286932B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

本申请实施例提供一种入网认证方法、装置及系统。入网认证方法主要包括:由入网管理客户端利用终端设备的设备ID加密得到用户名,并利用设备ID和时间步长内的时间值加密得到动态密码,使得终端设备以所述用户名和动态密码进行入网认证。设备ID由认证服务器为终端设备唯一分配,所以对终端设备具有身份标识作用,这使得入网认证可不依赖于数字证书,在满足入网安全性需求的同时,解决了终端设备因不支持或无法使用数字证书导致无法完成入网认证的问题。

Description

入网认证方法、装置及系统
技术领域
本申请涉及网络技术领域,尤其涉及一种入网认证方法、装置及系统。
背景技术
随着无线局域网(Wireless Local Area Networks,WLAN)的广泛应用,为了解决WLAN的用户接入认证问题,出现了网络准入控制(Network Admission Control,NAC)体系。NAC体系能够对接入WLAN的终端进行严格、高细粒度的管控,保证合法以及安全的终端入网,降低WLAN的安全风险。
802.1X是NAC体系常用的入网认证技术。802.1X采用的可扩展身份验证协议(Extensible Authentication Protocol,EAP)认证方式包括:EAP-MD5、 EAP-PEAP、EAP-TLS、EAP-TTLS以及EAP-LEAP。其中,EAP-TLS认证方式是一种基于证书的双向认证方式,其在安全性、实用性等方面都占据优势,因此成为众多企业首选的入网认证方式。
EAP-TLS认证方式需要使用数字证书,来验证设备身份。但在实际场景中,特别是在终端设备一侧,经常出现不支持或无法使用数字证书等问题,造成无法完成入网认证。因此,需要一种既能兼容各种设备,又能满足设备识别、安全性等需求的入网认证方案。
发明内容
本申请的多个方面提供一种入网认证方法、装置及系统,用以对终端设备进行入网认证,满足设备识别、安全性等需求,同时解决设备兼容问题。
本申请实施例提供一种入网认证方法,包括:
根据终端设备的入网指令,获取所述终端设备的设备ID以及由所述设备ID 加密得到的用户名,所述设备ID是认证服务器为所述终端设备生成的;
利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密,以获得动态密码;
将所述用户名和所述动态密码提供给所述终端设备,以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。
本申请实施例还提供一种入网认证方法,包括:
响应于入网触发操作,向入网管理客户端发送入网指令,以指示所述入网管理客户端为本端的终端设备提供入网所需的用户名和动态密码;
获取所述入网管理客户端提供的所述用户名和所述动态密码;所述用户名由所述终端设备的设备ID加密得到,所述动态密码由所述设备ID和当前时间步长内的时间值加密得到,所述设备ID是认证服务器为所述终端设备生成的;
根据所述用户名和所述动态密码,生成入网认证请求,并将所述入网认证请求发送给所述认证服务器,以供所述认证服务器对所述终端设备进行入网认证。
本申请实施例还提供一种入网认证方法,包括:
接收终端设备发送的入网认证请求,所述入网认证请求包括用户名和动态密码;
按照设定的解密算法,对所述用户名进行解密;
根据从所述用户名中解密出的所述终端设备的设备ID,对所述终端设备进行可信性验证;
根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证。
本申请实施例还提供一种电子设备,包括:存储器以及处理器;
所述存储器,用于存储程序;
所述处理器,与所述存储器耦合,用于执行所述存储器中的所述程序,以用于:
根据终端设备的入网指令,获取所述终端设备的设备ID以及由所述设备ID 加密得到的用户名,所述设备ID是认证服务器为所述终端设备生成的;
利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密,以获得动态密码;
将所述用户名和所述动态密码提供给所述终端设备,以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。
本申请实施例还提供一种终端设备,包括:存储器、处理器以及通信组件;
所述存储器,用于存储程序;
所述处理器,与所述存储器耦合,用于执行所述存储器中的所述程序,以用于:
响应于入网触发操作,控制所述通信组件向入网管理客户端发送入网指令,以指示所述入网管理客户端为所述终端设备提供入网所需的用户名和动态密码;
获取所述入网管理客户端提供的所述用户名和所述动态密码;所述用户名由所述终端设备的设备ID加密得到,所述动态密码由所述设备ID和当前时间步长内的时间值加密得到,所述设备ID是认证服务器为所述终端设备生成的;
根据所述用户名和所述动态密码,生成入网认证请求,并控制所述通信组件将所述入网认证请求发送给所述认证服务器,以供所述认证服务器对所述终端设备进行入网认证;
所述通信组件,用于向所述入网管理客户端发送所述入网指令,并将所述入网认证请求发送给所述认证服务器。
本申请实施例还提供一种认证服务器,包括:存储器、通信组件以及处理器;
所述存储器,用于存储程序;
所述通信组件,用于接收终端设备发送的入网认证请求,所述入网认证请求包括用户名和动态密码;
所述处理器,与所述存储器耦合,用于执行所述存储器中的所述程序,以用于:
按照设定的解密算法,对所述用户名进行解密;
根据从所述用户名中解密出的所述终端设备的设备ID,对所述终端设备进行可信性验证;
根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证。
本申请实施例还提供一种认证系统,包括:终端设备、入网管理客户端以及认证服务器;
所述终端设备,用于响应于入网触发操作,向所述入网管理客户端发送入网指令;获取所述入网管理客户端提供的用户名和动态密码;以及根据所述用户名和所述动态密码,生成入网认证请求,并将所述入网认证请求发送给所述认证服务器;
所述入网管理客户端,用于根据所述入网指令,获取所述设备ID以及所述用户名;利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密,以获得所述动态密码;以及将所述用户名和所述动态密码提供给所述终端设备;所述用户名由所述设备ID加密得到的;
所述认证服务器,用于接收所述入网认证请求,所述入网认证请求包括所述用户名和所述动态密码;根据从所述用户名中解密出的所述设备ID,对所述终端设备进行可信性验证;以及根据可信性验证结果、所述设备ID和所述动态密码,对所述终端设备进行合法性验证。
在本申请实施例中,由入网管理客户端利用终端设备的设备ID加密得到用户名,并利用设备ID和时间步长内的时间值加密得到动态密码,使得终端设备以所述用户名和动态密码进行入网认证。由于设备ID由认证服务器为终端设备唯一分配,所以对终端设备具有身份标识作用。因此,对认证服务器来说,一方面可根据用户名中的设备ID识别设备身份,而无需数字证书,解决了终端设备因不支持或无法使用数字证书导致无法完成入网认证的问题,适用于各种类型的设备进行入网认证;另一方面相比于静态域密码,基于与设备ID相结合的动态密码进行入网认证,安全性更高,满足安全性需求。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一示例性实施例提供的示例性入网认证系统的结构示意图;
图2为本申请另一示例性实施例提供的入网管理客户端向认证服务器进行注册的流程示意图;
图3为本申请又一示例性实施例提供的示例性入网认证系统的结构示意图;
图4为本申请又一示例性实施例提供的示例性入网认证方法的流程示意图;
图5为本申请又一示例性实施例提供的从入网管理客户端的角度描述的入网认证方法的流程示意图;
图6为本申请又一示例性实施例提供的从终端设备的角度描述的入网认证方法的流程示意图;
图7为本申请又一示例性实施例提供的从认证服务器的角度描述的入网认证方法的流程示意图;
图8a为本申请又一示例性实施例提供的示例性入网管理装置的结构示意图;
图8b为本申请又一示例性实施例提供的示例性电子设备的结构示意图;
图9a为本申请又一示例性实施例提供的示例性入网认证装置的结构示意图;
图9b为本申请又一示例性实施例提供的示例性终端设备的结构示意图;
图10a为本申请又一示例性实施例提供的示例性入网认证装置的结构示意图;
图10b为本申请又一示例性实施例提供的示例性认证服务器的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在现有技术中,因为EAP-TLS认证方式在安全性、实用性等方面的优势,成为众多企业首选的入网认证方式。但是,因为EAP-TLS认证方式需要使用数字证书来验证入网设备的身份,而对一些终端设备来说,经常出现不支持或无法使用数字证书等问题,造成无法完成入网认证。
针对上述技术问题,本申请实施例提供一种解决方案,主要原理是:由认证服务器为终端设备分配可唯一标识所述终端设备的设备ID,结合入网管理客户端,由入网管理客户端为终端设备提供由终端设备的设备ID加密得到用户名和动态密码,终端设备以所述用户名和动态密码进行入网认证。对认证服务器来说,一方面可根据用户名中的设备ID识别终端设备的身份,另一方面基于与设备ID相结合的动态密码进行入网认证,安全性更高,满足安全性需求。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请一示例性实施例提供的示例性入网认证系统的结构示意图。如图1所示,该系统包括:终端设备10、认证服务器20以及入网管理客户端 30。终端设备10可与认证服务器20以有线方式或无线方式连接。
认证服务器20隶属于一网络21,主要负责其所属网络21的入网认证管控,确保网络21的安全。认证服务器20可以是任何可提供计算服务,能够响应服务请求,并进行处理的设备,例如可以是常规服务器、云服务器、云主机、虚拟中心等。服务器的构成主要包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似。
终端设备10可以是智能手机、平板电脑、个人电脑、穿戴设备等。终端设备10通常包括至少一个处理单元11和至少一个存储器12。处理单元11和存储器12的数量取决于终端设备10的配置和类型。存储器12可以包括易失性的,例如RAM,也可以包括非易失性的,例如只读存储器(Read-Only Memory, ROM)、闪存等,或者也可以同时包括两种类型的。存储器12内通常存储有操作系统(Operating System,OS)、一个或多个应用程序,也可以存储有程序数据等。除了处理单元11和存储器12之外,终端设备还包括一些基本配置13,例如网卡芯片、IO总线、音视频组件等。可选地,终端设备10还可以包括一些外围设备14,例如键盘、鼠标、输入笔、打印机等。这些外围设备在本领域中是总所周知的,在此不做赘述。
在本示例性的入网认证系统中,终端设备10可以接入认证服务器20所属的网络21,但需要通过入网认证。其中,终端设备10主要用于根据用户名和动态密码向认证服务器20发起入网认证请求;入网管理客户端30主要用于向终端设备10提供入网认证所需的用户名和动态密码;认证服务器20主要用于根据入网认证请求对终端设备10进行入网认证。值得一提的是,终端设备10的入网操作属于系统级操作,可由终端设备的OS负责处理。
另外,入网管理客户端30可以独立于终端设备10实现,或者也可以安装于终端设备10上实现。在图1所示入网认证系统中,以入网管理客户端30安装于终端设备10上实现为例。如图1所示,当入网管理客户端30安装于终端设备10上实现时,该入网管理客户端30存储于存储器12中。终端设备10与入网管理客户端30相配合,可以实现以设备身份和动态密码进行入网认证。
当用户需要通过终端设备10接入认证服务器20所属网络21时,可通过终端设备10发出入网触发操作。例如,用户可以通过终端设备10上的设置选项发出入网触发操作。在一示例性的设备实现中,终端设备10向用户提供了设置选项,用户点击该设置选项可进入设置页面,设置页面上包括OS支持的各种功能设置项,例如声音、墙纸、电池、局域网/Wi-Fi、运营商等设置项。用户继续点击局域网/Wi-Fi设置项,以进入局域网/Wi-Fi设置页面。此时,终端设备10 会自动搜索附近的信号强度符合设定要求的网络信息并将网络信息显示于局域网/Wi-Fi设置页面上。在本实施例中,假设终端设备10搜索到的网络信息包括认证服务器20所属网络21。用户通过点击局域网/Wi-Fi设置页面上网络21的信息,即触发接入网络21的操作。
终端设备10可响应于入网触发操作,开始进行入网处理。终端设备10向入网管理客户端30发送入网指令,以指示入网管理客户端30为终端设备10提供入网所需的用户名和动态密码。入网管理客户端30接收入网指令,根据该入网指令,开始获取用户名和动态密码的操作。一方面,入网管理客户端30获取由认证服务器20为终端设备10生成的可唯一标识终端设备10的设备ID,并获取由设备ID加密得到的用户名;另一方面,入网管理客户端30利用与认证服务器20约定的种子密钥对设备ID和当前时间步长内的时间值进行加密,以获得动态密码。因为密码生成过程与时间因子结合,所以属于动态密码,并且该动态密码是一次性密码,每次入网都需要重新生成。
之后,入网管理客户端30将用户名和动态密码提供给终端设备10。终端设备10获取入网管理客户端30提供的用户名和动态密码,根据所述用户名和动态密码,生成入网认证请求,并将入网认证请求发送给认证服务器20,以供认证服务器20对终端设备10进行入网认证。
其中,入网管理客户端30可以采用多种实现方式将用户名和动态密码提供给终端设备10。下面举例说明:
在一示例性实现方式中,在用户触发入网操作时,终端设备10向用户展示一入网信息页面,作为获取用户名和动态密码的途径。可选地,该入网信息页面上设置有用户名输入框和密码输入框,用户名输入框用于填充用户名,密码输入框用于填充动态密码。
可选地,对入网管理客户端30来说,在获取到用户名和动态密码之后,可以将用户名和动态密码填充至所述入网信息页面中,以供终端设备10从入网信息页面中提取所述用户名和动态密码。例如,入网管理客户端30可以自动将用户名填充至入网信息页面上的用户名输入框内,并将动态密码填充至入网信息页面上的密码输入框内。这种由入网管理客户端30自动将用户名和动态密码填充至所述入网信息页面中的实施方式,效率较高。
可选地,对入网管理客户端30来说,在获取到用户名和动态密码之后,也可以将用户名和动态密码输出至入网管理客户端30的一页面上,以供用户通过该页面获知用户名和密码。对用户来说,在触发入网操作之后,可以看到终端设备10提供的入网信息页面,进而获知需要输入用户名和动态密码,于是去访问入网管理客户端30提供的包括有用户名和动态密码的页面。对入网管理客户端30来说,可根据用户的访问请求,向用户展示包括有用户名和动态密码的页面,以供用户从所述页面中将用户名和动态密码复制到入网信息页面中。
当上述入网信息页面上填充用户名和动态密码后,终端设备10可以从该入网信息页面中获取所述用户名和动态密码,进而生成入网认证请求并发送给认证服务器20,以供认证服务器20对终端设备10进行入网认证。
认证服务器20接收终端设备10发送的入网认证请求,该入网认证请求包括用户名和动态密码。用户名是由终端设备10的设备ID加密得到的,动态密码是利用约定的种子密钥对终端设备10的设备ID以及终端设备10当时指定时间步长内的时间值进行加密得到的。
之后,认证服务器20对用户名进行解密;若未成功解密用户名,则认证失败,拒绝终端设备10接入网络21;若从用户名中成功解密出终端设备10的设备ID,则根据解密出的设备ID对终端设备10进行可信性验证,因为终端设备 10的ID是认证服务器20唯一生成的,所以基于终端设备10的设备ID可以达到识别终端设备10的目的。若终端设备10未通过可信性验证,则认证失败,拒绝终端设备10接入网络21;若终端设备10通过可信性验证,则可以根据设备ID和入网认证请求中的动态密码,对终端设备10进行合法性验证。若终端设备10通过合法性验证,允许终端设备10接入网络21;若终端设备10未通过合法性验证,拒绝终端设备10接入网络21。
由上述可见,在本示例性的入网认证系统中,由入网管理客户端30为终端设备10提供由终端设备的设备ID加密得到用户名和动态密码,终端设备10以所述用户名和动态密码进行入网认证,实际上是以设备ID和动态密码进行入网认证。从认证服务器20的角度来看,一方面可根据用户名中的设备ID识别终端设备的身份,另一方面基于与设备ID相结合的动态密码进行入网认证,安全性更高,满足安全性需求。
在一示例性应用场景中,在终端设备10进行入网认证之前,入网管理客户端30可以预先向认证服务器20进行注册,通过该注册过程预先获得用户名、设备ID和种子密钥等数据。如图2所示,一种入网管理客户端30向认证服务器20进行注册的流程包括以下步骤:
201、入网管理客户端30向认证服务器20发送注册请求,所述注册请求携带有终端设备10的硬件信息。
此处不对硬件信息进行限定,凡是与终端设备10相关的硬件信息均适用于本实施例,例如可以是与终端设备10的中央处理单元(Central Processing Unit, CPU)、显卡、硬盘等相关的信息。
可选地,注册请求中还可以包括终端设备10对应的用户信息和/或企业信息。
202、认证服务器20接收注册请求,从中解析出终端设备10的硬件信息,并根据所述硬件信息生成可唯一标识终端设备10的设备ID,记为UMID。
可选地,当注册请求中包括用户信息和/或企业信息时,认证服务器20可以存储终端设备10对应的用户信息和/或企业信息,并且还可以根据该用户信息和 /或企业信息为终端设备生成用户ID(User ID,UID)和/或企业ID(Customer Identity,CID)。其中,UID用于唯一标识终端设备10所属的用户;CID用户唯一标识终端设备10所属的企业。
例如,用户信息可以包括但不限于:用户注册的账号、密码、用户的邮箱、手机号码、昵称等信息。企业信息可以包括但不限于:用户注册的账号、密码、企业注册地、企业名称、企业性质、企业规模等信息。
203、认证服务器20采用设定的加密算法生成两个动态令牌(token),即令牌密钥(TokenKey,TK)和进程令牌(ProcessToken,PT)。
其中,TK可作为终端设备10入网认证时所需的用户名,由UMID加密得到。PT可作为加密后的种子密钥,可由UMID、TK以及种子密钥加密得到。
可选地,可以采用Blowfish加密算法对UMID进行加密以生成TK。
可选地,可以采用AES-128加密算法对UMID、TK以及种子密钥加密以生成PT。
进一步,当认证服务器20为终端设备生成CID、UID和UMID时,可以同时结合CID、UID和UMID来生成TK和PT。其中,结合CID、UID和UMID 生成TK和PT的加密公式分别如下:
TK=Blowfish(CID+UID+UMID+RANDOM+TIME,(app_secret))
PT=TK+AES128(CID+UID+UMID,(app_secret))
在上述加密公式中,app_secret表示入网管理客户端30与认证服务器20约定的种子密钥。该种子密钥可以是入网管理客户端30的API接口密钥,与入网管理客户端30一一对应。
204、认证服务器向入网管理客户端30发送TK、PT以及UMID。
205、入网管理客户端30接收TK、PT以及UMID,并将UMID、TK保存在本地空间中。
206、入网管理客户端30向独立的加密工具发送PT,由加密工具对PT解密获得种子密钥并存储种子密钥。
其中,加密工具对入网管理客户端30以及认证服务器20来说是一个黑匣子,其采用的加密算法以及存储种子密钥的方式对外不可见,且加密工具具有防篡改功能,而且在不安全的情况下禁止被访问或使用,这样可以降低种子密钥被破解的风险,保证种子密钥的安全性,进而可提高入网认证的安全性。对入网管理客户端30和认证服务器来说,在需要时只需调用加密工具即可。
基于上述注册流程,入网管理客户端30可以预先将终端设备10的设备ID 和用户名保存至本地空间中。因此,当接收到入网指令时,入网管理客户端30 可直接从本地空间中读取终端设备10的设备ID和用户名。除该实施方式之外,入网管理客户端30也可以在接收到入网指令时,实时地向认证服务器20请求终端设备10的设备ID和用户名。例如,如果认证服务器20未在上述注册流程中向入网管理客户端30下发终端设备10的设备ID和用户名,则入网管理客户端30在接收到入网指令时,需要实时地向认证服务器20请求终端设备10的设备ID和用户名。其中,由认证服务器20向入网管理客户端30下发终端设备10 的设备ID和用户名,加密算法只需保存在认证服务器20一端,有利于降低加密算法被破解的概率,进而提高设备ID和用户名的安全性。
进一步可选地,在上述注册流程中,认证服务器20可以通过注册设备列表存储已注册设备的设备ID,并通过设备状态列表存储已注册设备的状态,例如已注册、已删除、被冻结、被禁用等。其中,注册设备列表和设备状态列表可以是同一列表,也可以是相互独立的两个列表。
基于上述注册设备列表和设备状态列表,认证服务器20可以结合注册设备列表和设备状态列表,对终端设备10进行可信性验证。一种可选实施方式包括:当从用户名中成功解密出终端设备10的设备ID时,认证服务器20根据解密出的设备ID查找注册设备列表,以判断终端设备10是否已经注册;如果从注册设备列表中查询到所述解密出的设备ID,进一步查询设备状态列表,以判断终端设备10的状态是否正常;如果从设备状态列表中查询到终端设备10处于正常状态,确定终端设备10通过可信性验证。如果未从注册设备列表中查询到所述解密出的设备ID,或者从设备状态列表中查询到终端设备10处于异常状态,例如被删除、被禁用、被冻结,则确定终端设备10未通过可信性验证。
在一可选实施方式中,认证服务器20在生成用户名(即TK)的过程可以同时结合CID和/或UID。基于此,认证服务器20除了可以从用户名中解密出 UMID之外,还可以从用户名中解密出UID和/或CID。为了提高网络安全性,可以从设备角度、用户角度以及企业角度进行多因素认证。基于此,认证服务器20在对终端设备10进行可信性验证之前,可以根据UID和预先注册的用户信息和/或企业信息,对终端设备10所属的用户和/或企业进行身份验证;例如,可以判断从用户名中解密出的UID和/或CID是否与预先注册的用户信息和/或企业信息相匹配,如果相匹配,确定终端设备10所属的用户和/或企业通过身份验证;如果不匹配,确定终端设备10所属的用户和/或企业未通过身份验证。当终端设备10所属的用户和/或企业通过身份验证时,再对终端设备10进行可信性验证。
在上述实施例或下述实施例中,在终端设备10通过可信性验证之后,认证服务器20需要根据设备ID和入网认证请求中的动态密码对终端设备10进行合法性验证。
一种对终端设备10进行合法性验证的实施方式包括:认证服务器20可以确定至少两个时间步长,其中,所述至少两个时间步长包括当前时间步长以及与当前时间步长相距最近的至少一个历史时间步长;对至少两个时间步长中的每个时间步长,利用与入网管理客户端30约定的种子密钥对解密出的设备ID 和每个时间步长内的时间值进行加密,以生成至少两个动态密码;根据至少两个动态密码和入网认证请求中的动态密码,对终端设备进行合法性验证。例如,可以将至少两个动态密码与入网认证请求中携带的动态密码进行比较;若至少两个动态密码中存在与入网认证请求中携带的动态密码相同的动态密码,则确定终端设备10通过合法性验证;若至少两个动态密码中不存在与入网认证请求中携带的动态密码相同的动态密码,则确定终端设备10未通过合法性验证。
进一步可选地,认证服务器20可以存储已认证设备的映射数据。这里已认证设备包括当前在线的已认证设备,也包括已下线的历史已认证设备。已认证设备的映射数据包括但不限于:已认证设备的设备ID、媒体访问控制(Media Access Control,MAC)地址、UID、CID、认证通过时所使用的动态密码等数据。基于此,认证服务器20可以结合已认证设备的映射数据对终端设备进行合法性验证。
另一种对终端设备10进行合法性验证的实施方式包括:认证服务器20根据从用户名中解密出的设备ID判断已认证设备的映射数据中是否存在终端设备上次认证通过所使用的动态密码。若已认证设备的映射数据中存在终端设备上次认证通过所使用的动态密码,则根据终端设备上次认证通过所使用的动态密码和入网认证请求中携带的动态密码,对终端设备10进行合法性验证。例如,可以将终端设备上次认证通过所使用的动态密码与入网认证请求中携带的动态密码进行比较;若两者相同,则确定终端设备10通过合法性验证;若两者不相同,则确定终端设备10未通过合法性验证。
若已认证设备的映射数据中不存在终端设备上次认证通过所使用的动态密码,则认证服务器20确定至少两个时间步长,利用与入网管理客户端30约定的种子密钥分别对设备ID和每个时间步长内的时间值进行加密,以获得至少两个动态密码;将至少两个动态密码与入网认证请求中携带的动态密码进行比较;若至少两个动态密码中存在与入网认证请求中携带的动态密码相同的动态密码,则确定终端设备10通过合法性验证;若至少两个动态密码中不存在与入网认证请求中携带的动态密码相同的动态密码,则确定终端设备10未通过合法性验证。
可选地,在上述认证过程中,认证服务器20也可以将设备ID以及当前时间步长或历史时间步长内的时间值发送给加密工具,以使加密工具利用预先约定的种子密钥对设备ID以及当前时间步长或历史时间步长内的时间值进行加密,从而获得动态密钥。
值得说明的是,动态密码具有一定时效性,当时效性结束时,该动态密码就会失效,故会被删除。在同一个时间步长内,动态密码生成的结果是一样的。对认证服务器20来说,并不知道入网认证请求中携带的动态密码是在哪个时间步长内生成的,而且由于网络的原因,动态密码生成端(即入网管理客户端30) 的时间和认证服务器20接收到动态密码的时间可能差距会很大,有可能使得这两个时间不在同一个时间步长内。例如,可能存在这种情况:入网管理客户端 30在一个时间步长的结尾时刻生成动态密码,认证服务器20在下一个时间步长的开始时刻接收到该动态密码,这种情况属于合理情况。基于此,考虑到传输时延,在上述计算动态密码的过程中不仅考虑当前时间步长,而且考虑与当前时间步长相邻的历史时间步长,历史时间步长可以是一个或多个。历史时间步长的个数越多,被攻击的风险就越大,因此历史时间步长的个数可视网络的风险容忍程度而定。
进一步,认证服务器20在获得终端设备10的认证结果之后,还可以向终端设备10返回认证结果。所述认证结果包括:终端设备10通过认证,或终端设备10未通过认证。
图1所示入网认证系统可在802.1X协议框架下部署实施。可选地,图1所示入网认证系统还可与802.1X协议中的EAP-PEAP认证方式相结合,以 EAP-PEAP作为载体形成一种新的认证方式,但并不限于与EAP-PEAP认证方式相结合。基于此,如图3所示,另一种示例性的入网认证系统主要包括:终端设备10、认证服务器20、入网管理客户端30、Radius服务器40以及网络附属存储(Network Attached Storage,NAS)设备50。终端设备10通过NAS设备50与Radius服务器40连接,Radius服务器40与认证服务器20连接。
值得说明的是,图3所示入网认证系统中,除了终端设备10、NAS设备50、 Radius服务器40 以及认证服务器20之外,还可以包括网关等其它一些网络设备,在此不做赘述,具体可视网络部署情况而定。
在图3所示示例性的入网认证系统中,终端设备10、认证服务器20以及入网管理客户端30的功能基本不变。终端设备10仍旧主要用于根据用户名和动态密码向认证服务器20发起入网认证请求,发起过程参见前面的描述;入网管理客户端30仍旧主要用于向终端设备10提供入网认证所需的用户名和动态密码;认证服务器20仍旧主要用于对终端设备10进行入网认证,认证过程参见前面的描述。区别在于:终端设备10与认证服务器20之间的交互数据需要封装为远程用户拨号认证系统(Remote authentication dial in userservice,Radius) 协议报文,并通过Radius服务器40进行转发。
Radius是一种客户端/服务器(C/S)结构的协议,Radius服务器40和NAS 设备50分别是Radius协议下的服务器和客户端。其中,NAS设备50可以是任何运行Radius客户端软件的设备,主要向远程接入用户(即终端设备10)提供接入及与Radius服务器40交互的服务。在本实施例中,Radius服务器40主要作为认证服务器20的代理,负责Radius协议报文的封装/解封装以及转发,这点不同于传统意义上的Radius服务器。其中,Radius服务器40可以是任何运行 Radius服务端软件的设备。
在图3所示入网认证系统中,终端设备10可以采用图2所示流程向认证服务器20进行注册,详细流程在此不再赘述。之后,当用户需要通过终端设备10 接入认证服务器20所属的网络21时,可进入入网认证流程。可选地,如图4 所示,可在图3所示入网认证系统中实施的一种认证流程包括以下步骤:
认证初始化阶段:
401、终端设备10响应于用户触发的入网操作,向入网管理客户端30发送入网指令,与此同时,在终端设备的界面上展示入网信息页面。
402、入网管理客户端30可从本地空间中读取UMID以及TK,将TK作为用户名。
403、入网管理客户端30调用加密工具,由加密工具利用种子密钥对UMID 和当前时间步长内的时间值进行加密,以获得动态密码。
可选地,时间步长可以是5分钟、3分钟、2分钟等,具体视应用需求而定。
404、入网管理客户端30自动将TK和动态密码填充至入网信息页面上。
405、终端设备10从入网信息页面中获取TK和动态密码。
传输层安全(Transport Layer Security,TLS)通道建立阶段:
406、终端设备10向NAS设备50发送一个EAPoL-Start报文,开始802.1X 接入的开始。
407、NAS设备50向终端设备10发送EAP-Request/Identity报文,要求终端设备10上报用户的网络标识。
408、终端设备10向NAS设备50回应一个EAP-Response/Identity报文。
409、NAS设备50以EAPoR(EAP over Radius)的报文格式将 EAP-Response/Identity发送给Radius服务器40。
410、Radius服务器40收到EAP-Response/Identity报文,根据配置确定使用EAP-PEAP认证,并向NAS设备50发送RADIUS-Access-Challenge报文,该报文里面含有Radius服务器40发送给终端设备10的EAP-Request/Peap/Start 报文,表示希望开始进行EAP-PEAP的认证。
411、NAS设备50将EAP-Request/Peap/Start报文发送给终端设备10。
改进MSCHPAV2认证阶段:
412、终端设备10收到EAP-Request/Peap/Start报文后,按照MSCHPAV2 算法对动态密码进行处理,获得一哈希值,记为ntSendResponse,将用户名和哈希值ntSendResponse,封装在EAP-Response/Client Hello报文中发送给NAS设备50。
413、NAS设备50以EAPoR的报文格式将EAP-Response/Client Hello报文发送给Radius服务器40。
414、Radius服务器40收到终端设备10发来的EAP-Response/Client Hello 报文后,从中解析出TK和哈希值ntSendResponse。
415、Radius服务器40向认证服务器20发送TK和哈希值ntSendResponse。
416、认证服务器20按照设定的解密算法对用户名进行解密;若成功解密,进入步骤417;若未成功解密,进入步骤421。该解密算法与认证服务器20在注册流程中生成用户名时采用的加密算法相对应。
417、认证服务器20根据从用户名中解密出的设备ID对终端设备10进行可信性验证;若终端设备10通过可信性验证,进入步骤418;若未通过可信性验证,进入步骤421。
418、认证服务器20根据设备ID和哈希值ntSendResponse,对终端设备10 进行合法性验证;若通过合法性验证,进入步骤419;若未通过合法性验证,进入步骤421。
在本实施例中,认证服务器20会记录已认证设备的映射数据。已认证设备的映射数据中包括已认证设备的设备ID、MAC地址、用户名、哈希值以及认证过程中所需的哈希密码等信息。基于此,认证服务器20可以根据设备ID判断已认证设备的映射数据中是否存在终端设备10上一次通过认证所使用的哈希密码。
若判断结果为存在,则对终端设备10上一次通过认证所使用的哈希密码做哈希处理得到一哈希值;将该哈希值与哈希值ntSendResponse进行比较;两个哈希值相同,确定终端设备10通过合法性验证;若两个哈希值不相同,确定终端设备10未通过合法性验证。
若判断结果为不存在,根据当前时间,确定当前时间步长以及与当前时间步长相邻的历史时间步长;利用与入网管理客户端30约定的种子密钥对设备ID 和所确定的每个时间步长内的时间值进行加密,获得至少两个动态密码;按照 MSCHPAV2算法对至少两个动态密码进行处理,获得至少两个哈希密码;进而,对至少两个哈希密码进行哈希处理,获得至少两个哈希值。将至少两个哈希值与哈希值ntSendResponse进行比较;若至少两个哈希值中存在与哈希值 ntSendResponse相同的哈希值,确定终端设备10通过合法性验证;若至少两个哈希值中不存在与哈希值ntSendResponse相同的哈希值,确定终端设备10未通过合法性验证。
当确定终端设备10通过合法性验证后,将与哈希值ntSendResponse相同的哈希值所对应的哈希密码存储到终端设备10的映射数据中。
419、认证服务器20通过MSCHPAV2算法生成一个认证通过标识 msch_response,并向Radius服务器40发送认证通过标识msch_response。
420、Radius服务器40将认证通过标识msch_response封装在 RADIUS-Access-Accept报文中,通过NAS设备50向终端设备10发送 RADIUS-Access-Accept报文,结束认证流程。
421、认证服务器20向Radius服务器40发送未通过认证结果,并进入步骤422。
422、Radius服务器40将未通过认证结果封装在RADIUS-Access-Reject报文中,并通过NAS设备50向终端设备10发送RADIUS-Access-Reject报文,结束认证流程。
基于上述图1或图3所示的入网认证系统,本申请以下实施例分别从入网管理客户端、终端设备以及认证服务器的角度给出了几种入网认证方法的流程。
从入网管理客户端的角度来看,一种入网认证方法的流程如图5所示,包括以下步骤:
501、根据终端设备的入网指令,获取终端设备的设备ID以及由设备ID加密得到的用户名,设备ID是认证服务器为终端设备生成的。
502、利用与认证服务器约定的种子密钥对设备ID和当前时间步长内的时间值进行加密,以获得动态密码。
503、将用户名和动态密码提供给终端设备,以供终端设备生成入网认证请求并发往认证服务器进行入网认证。
在一可选实施方式中,上述将用户名和动态密码提供给终端设备,包括:
将用户名和动态密码填充至终端设备提供的入网信息页面中;或者
将用户名和动态密码输出至本端页面上,并根据用户的访问请求,向用户展示本端页面,以供用户从本端页面中将用户名和动态密码复制到终端设备提供的入网信息页面中。
在一可选实施方式中,上述种子密钥由独立于本端的加密工具维护管理。基于此,上述利用与认证服务器约定的种子密钥对设备ID和当前时间步长内的时间值进行加密,以获得动态密码,包括:将设备ID和当前时间步长内的时间值发送给加密工具,以使加密工具利用种子密钥对设备ID和当前时间步长内的时间值进行加密并输出动态密码。
在一可选实施方式中,在根据终端设备的入网指令,获取终端设备的设备 ID以及由设备ID加密得到的用户名之前,还可以向认证服务器进行注册。在所述注册流程中,入网管理客户端主要执行以下操作:向认证服务器发送注册请求,所述注册请求包括终端设备的硬件信息,所述硬件信息用于供认证服务器为终端设备生成设备ID;接收认证服务器下发的用户名、设备ID以及由用户名和设备ID加密后的种子密钥;将设备ID以及用户名存储在本地空间中,并将由用户名和设备ID加密后的种子密钥发送至加密工具,以供加密工具解密出种子密钥。
在一可选实施方式中,上述注册请求还包括:终端设备对应的用户信息;所述用户信息用于供认证服务器为终端设备生成用户ID。基于此,入网管理客户端还会接收认证服务器下发的用户ID。
从终端设备的角度来看,一种入网认证方法的流程如图6所示,包括以下步骤:
601、响应于入网触发操作,向入网管理客户端发送入网指令,以指示入网管理客户端为本端的终端设备提供入网所需的用户名和动态密码。
602、获取入网管理客户端提供的用户名和动态密码;用户名由终端设备的设备ID加密得到,动态密码由设备ID和当前时间步长内的时间值加密得到,设备ID是认证服务器为终端设备生成的。
603、根据用户名和动态密码,生成入网认证请求,并将入网认证请求发送给认证服务器,以供认证服务器对终端设备进行入网认证。
在一可选实施方式中,在响应入网触发操作时,还可以向用户展示一入网信息页面,以获取用户名和动态密码。基于此,上述获取入网管理客户端提供的用户名和动态密码,包括:从所述入网信息页面中获取用户名和动态密码。其中,用户名和动态密码是由入网管理客户端填充至入网信息页面中,或者由用户从入网管理客户端的页面中复制到入网信息页面中。
从认证服务器的角度来看,一种入网认证方法的流程如图7所示,包括以下步骤:
701、接收终端设备发送的入网认证请求,入网认证请求包括用户名和动态密码。
702、按照设定的加密算法,对所述用户名进行解密。
703、根据从用户名中解密出的终端设备的设备ID,对终端设备进行可信性验证。
704、根据可信性验证结果、设备ID和入网认证请求中的动态密码,对终端设备进行合法性验证。
在一可选实施方式中,上述根据从用户名中解密出的终端设备的设备ID,对终端设备进行可信性验证,包括:当从用户名成功解密出终端设备的设备ID 时,根据设备ID查找注册设备列表,注册设备列表存储有已注册设备的设备ID;从注册设备列表中查询到设备ID,查询设备状态列表,设备状态列表存储有已注册设备的状态;若从设备状态列表中查询到终端设备处于正常状态,确定终端设备通过可信性验证。
在一可选实施方式中,上述用户名中还包括:终端设备对应的用户ID。基于此,在根据设备ID对终端设备进行可信性验证之前,还可以根据用户ID和预先注册的终端设备对应的用户信息,对终端设备所属的用户进行合法性验证;当终端设备所属的用户通过合法性验证时,执行根据设备ID对终端设备进行可信性验证的操作。
在一可选实施方式中,上述根据可信性验证结果、设备ID和入网认证请求中的动态密码,对终端设备进行合法性验证,包括:当终端设备通过可信性验证时,利用与入网管理客户端约定的种子密钥分别对设备ID和至少两个时间步长中每个时间步长内的时间值进行加密,以生成至少两个动态密码;根据至少两个动态密码和入网认证请求中的动态密码,对终端设备进行合法性验证;其中,至少两个时间步长包括当前时间步长以及与当前时间步长相距最近的至少一个历史时间步长。
在一可选实施方式中,上述在利用与入网管理客户端约定的种子密钥分别对设备ID和至少两个时间步长中每个时间步长内的时间值进行加密,以获得至少两个动态密码之前,还可以根据设备ID判断已认证设备的映射数据中是否存在终端设备上次认证通过所使用的动态密码;若判断结果为存在,根据终端设备上次认证通过所使用的动态密码和入网认证请求中的动态密码,对终端设备进行合法性验证;若判断结果为不存在,执行利用与入网管理客户端约定的种子密钥分别对设备ID和至少两个时间步长中每个时间步长内的时间值进行加密,以生成至少两个动态密码的操作。
在一可选实施方式中,上述在接收终端设备发送的入网认证请求之前,还包括一注册流程。在所述注册流程中,认证服务器主要执行以下操作:接收入网管理客户端发送的注册请求,所述注册请求携带有终端设备的硬件信息;根据所述注册请求中的硬件信息为终端设备生成设备ID;对所述设备ID进行加密,以生成用户名;利用用户名和设备ID对种子密钥进行加密,以获得加密后的种子密钥;将用户名、设备ID以及加密后的种子密钥发送给入网管理客户端。
需要说明的是,上述实施例所提供方法的各步骤的执行主体均可以是同一设备,或者,该方法也由不同设备作为执行主体。比如,步骤501至步骤503 的执行主体可以为设备A;又比如,步骤501和502的执行主体可以为设备A,步骤503的执行主体可以为设备B;等等。
图8a为本申请又一实施例提供的入网管理装置的结构示意图。该入网管理装置可作为前述的入网管理客户端实现。如图8a所示,所述入网管理装置包括:获取模块81、加密模块82和提供模块83。
获取模块81,用于根据终端设备的入网指令,获取所述终端设备的设备ID 以及由所述设备ID加密得到的用户名,所述设备ID是认证服务器为所述终端设备生成的。
加密模块82,用于利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密,以获得动态密码。
提供模块83,用于将所述用户名和所述动态密码提供给所述终端设备,以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。
在一可选实施方式中,提供模块83具体用于:将所述用户名和所述动态密码填充至所述终端设备提供的入网信息页面中;或者,将所述用户名和所述动态密码输出至本端页面上,并根据用户的访问请求,向所述用户展示所述本端页面,以供所述用户从所述本端页面中将所述用户名和所述动态密码复制到所述终端设备提供的入网信息页面中。
在一可选实施方式中,种子密钥由独立于本端的加密工具维护管理。基于此,加密模块82具体用于:将所述设备ID和当前时间步长内的时间值发送给所述加密工具,以使所述加密工具利用所述种子密钥对所述设备ID和当前时间步长内的时间值进行加密并输出所述动态密码。
在一可选实施方式中,入网管理装置还包括:发送模块、接收模块和存储模块。
发送模块,向所述认证服务器发送注册请求,所述注册请求包括所述终端设备的硬件信息,所述硬件信息用于供所述认证服务器为所述终端设备生成所述设备ID。
接收模块,用于接收所述认证服务器下发的所述用户名、所述设备ID以及由所述用户名和所述设备ID加密后的种子密钥。
存储模块,用于将所述设备ID以及所述用户名存储在本地空间中,并将由所述用户名和所述设备ID加密后的种子密钥发送至所述加密工具,以供所述加密工具解密出所述种子密钥。
在一可选实施方式中,所述注册请求还包括:所述终端设备对应的用户信息;所述用户信息用于供所述认证服务器为所述终端设备生成用户ID。
以上描述了入网管理装置的内部功能和结构,如图8b所示,实际中,该入网管理装置可实现为电子设备,包括:存储器84以及处理器85。
存储器84,可被配置为存储其它各种数据以支持在电子设备上的操作。这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
存储器84可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器85与存储器84耦合,用于执行存储器84中的程序,以用于:
根据终端设备的入网指令,获取所述终端设备的设备ID以及由所述设备ID 加密得到的用户名,所述设备ID是认证服务器为所述终端设备生成的;
利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密,以获得动态密码;
将所述用户名和所述动态密码提供给所述终端设备,以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。
其中,处理器85在执行存储器84中的程序时,除了上面的功能之外,还可实现其它功能,具体可参见前面各实施例中与入网管理客户端相关的描述。
进一步,如图8b所示,电子设备还包括:通信组件86、显示器87、电源组件88、音频组件89等其它组件。图8b中仅示意性给出部分组件,并不意味着电子设备只包括图8b所示组件。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,所述计算机程序被计算机执行时能够实现上述各实施例中与入网管理客户端相关的方法步骤或功能。
图9a为本申请又一实施例提供的入网认证装置的结构示意图。该入网认证装置可位于需要入网认证的终端设备的内部实现。如图9a所示,所述入网认证装置包括:发送模块91、获取模块92和生成模块93。
发送模块91,用于响应于入网触发操作,向入网管理客户端发送入网指令,以指示所述入网管理客户端为本端的终端设备提供入网所需的用户名和动态密码。
获取模块92,用于获取所述入网管理客户端提供的所述用户名和所述动态密码;所述用户名由所述终端设备的设备ID加密得到,所述动态密码由所述设备ID和当前时间步长内的时间值加密得到,所述设备ID是认证服务器为所述终端设备生成的。
生成模块93,用于根据所述用户名和所述动态密码,生成入网认证请求。
所述发送模块91,还用于将所述入网认证请求发送给所述认证服务器,以供所述认证服务器对所述终端设备进行入网认证。
在一可选实施方式中,入网认证装置还包括:显示模块,用于在响应入网触发操作时,展示入网信息页面,以获取入网认证所需的用户名和动态密码。基于此,获取模块92具体用于:从所述入网信息页面中获取所述用户名和所述动态密码;其中,所述用户名和所述动态密码是由所述入网管理客户端填充至所述入网信息页面中,或者由所述用户从所述入网管理客户端的页面中复制到所述入网信息页面中。
以上描述了入网认证装置的内部功能和结构,如图9b所示,实际中,该入网认证装置可实现为终端设备,包括:存储器95、处理器96以及通信组件97。
存储器95,可被配置为存储其它各种数据以支持在终端设备上的操作。这些数据的示例包括用于在终端设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
存储器95可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器96与存储器95耦合,用于执行存储器95中的程序,以用于:
响应于入网触发操作,控制通信组件97向入网管理客户端发送入网指令,以指示所述入网管理客户端为所述终端设备提供入网所需的用户名和动态密码;
获取所述入网管理客户端提供的所述用户名和所述动态密码;所述用户名由所述终端设备的设备ID加密得到,所述动态密码由所述设备ID和当前时间步长内的时间值加密得到,所述设备ID是认证服务器为所述终端设备生成的;
根据所述用户名和所述动态密码,生成入网认证请求,并控制通信组件97 将所述入网认证请求发送给所述认证服务器,以供所述认证服务器对所述终端设备进行入网认证。
通信组件,用于向所述入网管理客户端发送所述入网指令,并将所述入网认证请求发送给所述认证服务器。
其中,处理器96在执行存储器95中的程序时,除了上面功能之外,还可实现其它功能,具体可参见前面各实施例中与终端设备相关的描述。
进一步,如图9b所示,终端设备还包括:显示器98、电源组件99、音频组件90等其它组件。图9b中仅示意性给出部分组件,并不意味着终端设备只包括图9b所示组件。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,所述计算机程序被计算机执行时能够实现上述各实施例中与终端设备相关的方法步骤或功能。
图10a为本申请又一实施例提供的入网认证装置的结构示意图。该入网认证装置可位于认证服务器内部实现。如图10a所示,所述入网认证装置包括:接收模块1001、解密模块1002和验证模块1003。
接收模块1001,用于接收终端设备发送的入网认证请求,所述入网认证请求包括用户名和动态密码;
解密模块1002,用于按照设定的解密算法,对所述用户名进行解密。
验证模块1003,用于根据解密模块1002从用户名中解密出的所述终端设备的设备ID时,对所述终端设备进行可信性验证。
验证模块1003,还用于根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证。
在一可选实施方式中,验证模块1003对所述终端设备进行可信性验证时,具体用于:当从用户名中成功解密出终端设备的设备ID时,根据所述设备ID 查找注册设备列表,所述注册设备列表存储有已注册设备的设备ID;若从所述注册设备列表中查询到所述设备ID,查询设备状态列表,所述设备状态列表存储有已注册设备的状态;若从所述设备状态列表中查询到所述终端设备处于正常状态,确定所述终端设备通过可信性验证。
在一可选实施方式中,验证模块1003还用于:根据所述用户ID和预先注册的所述终端设备对应的用户信息,对所述终端设备所属的用户进行身份验证;当所述终端设备所属的用户通过身份验证时,执行根据所述设备ID对所述终端设备进行可信性验证的操作。
在一可选实施方式中,验证模块1003对所述终端设备进行合法性验证时,具体用于:当终端设备通过可信性验证时,利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密,以生成至少两个动态密码;根据所述至少两个动态密码和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证;其中,所述至少两个时间步长包括当前时间步长以及与当前时间步长相距最近的至少一个历史时间步长。
在一可选实施方式中,验证模块1003还用于:根据所述设备ID判断已认证设备的映射数据中是否存在所述终端设备上次认证通过所使用的动态密码;若判断结果为存在,根据所述终端设备上次认证通过所使用的动态密码和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证;若判断结果为不存在,执行利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密,以生成至少两个动态密码的操作。
在一可选实施方式中,入网认证装置还包括:生成模块、加密模块和发送模块。
接收模块1001,还用于接收入网管理客户端发送的注册请求,所述注册请求携带有所述终端设备的硬件信息。
生成模块,用于根据所述硬件信息为所述终端设备生成所述设备ID。
加密模块,用于对所述设备ID进行加密,生成所述用户名,并利用所述用户名和所述设备ID对种子密钥进行加密,以获得加密后的种子密钥。
发送模块,用于将所述用户名、所述设备ID以及所述加密后的种子密钥发送给所述入网管理客户端。
以上描述了入网认证装置的内部功能和结构,如图10b所示,实际中,该入网认证装置可实现为认证服务器,包括:存储器1004、处理器1005以及通信组件1006。
存储器1004,可被配置为存储其它各种数据以支持在认证服务器上的操作。这些数据的示例包括用于在认证服务器上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。
存储器1004可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
通信组件1006,用于接收终端设备发送的入网认证请求,所述入网认证请求包括用户名和动态密码。
处理器1005与存储器1004耦合,用于执行存储器1004中的程序,以用于:
按照设定的解密算法,对所述用户名进行解密;
根据从所述用户名中解密出的所述终端设备的设备ID,对所述终端设备进行可信性验证;
根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证。
其中,处理器1005在执行存储器1004中的程序时,除了上面功能之外,还可实现其它功能,具体可参见前面各实施例中与认证服务器相关的描述。
进一步,如图10b所示,认证服务器还包括:显示器1007、电源组件1008、音频组件1009等其它组件。图10b中仅示意性给出部分组件,并不意味着认证服务器只包括图10b所示组件。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,所述计算机程序被计算机执行时能够实现上述各实施例中与认证服务器相关的方法步骤或功能。
在图8b、图9b和图10b中的通信组件,可被配置为便于通信组件所属设备和其他设备之间有线或无线方式的通信。通信组件所属设备可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在图8b、图9b和图10b中的显示器,可以包括屏幕,其屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
在图8b、图9b和图10b中的电源组件,为电源组件所属设备的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源,及其他与为电源组件所属设备生成、管理和分配电力相关联的组件。
在图8b、图9b和图10b中的音频组件,被配置为输出和/或输入音频信号。例如,音频组件包括一个麦克风(MIC),当音频组件所属设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器或经由通信组件发送。在一些实施例中,音频组件还包括一个扬声器,用于输出音频信号。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/ 或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (19)

1.一种入网认证方法,其特征在于,包括:
根据终端设备的入网指令,获取所述终端设备的设备ID以及由所述设备ID加密得到的用户名,所述设备ID是认证服务器为所述终端设备生成的;
利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密,以获得动态密码;
将所述用户名和所述动态密码提供给所述终端设备,以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。
2.根据权利要求1所述的方法,其特征在于,所述将所述用户名和所述动态密码提供给所述终端设备,包括:
将所述用户名和所述动态密码填充至所述终端设备提供的入网信息页面中;或者
将所述用户名和所述动态密码输出至本端页面上,并根据用户的访问请求,向所述用户展示所述本端页面,以供所述用户从所述本端页面中将所述用户名和所述动态密码复制到所述终端设备提供的入网信息页面中。
3.根据权利要求1或2所述的方法,其特征在于,所述种子密钥由独立的加密工具维护管理;
所述利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密,以获得动态密码,包括:
将所述设备ID和当前时间步长内的时间值发送给所述加密工具,以使所述加密工具利用所述种子密钥对所述设备ID和当前时间步长内的时间值进行加密并输出所述动态密码。
4.根据权利要求3所述的方法,其特征在于,在根据终端设备的入网指令,获取所述终端设备的设备ID以及由所述设备ID加密得到的用户名之前,所述方法还包括:
向所述认证服务器发送注册请求,所述注册请求包括所述终端设备的硬件信息,所述硬件信息用于供所述认证服务器为所述终端设备生成所述设备ID;
接收所述认证服务器下发的所述用户名、所述设备ID以及由所述用户名和所述设备ID加密后的种子密钥;
将所述设备ID以及所述用户名存储在本地空间中,并将由所述用户名和所述设备ID加密后的种子密钥发送至所述加密工具,以供所述加密工具解密出所述种子密钥。
5.根据权利要求4所述的方法,其特征在于,所述注册请求还包括:所述终端设备对应的用户信息;所述用户信息用于供所述认证服务器为所述终端设备生成用户ID。
6.一种入网认证方法,其特征在于,包括:
响应于入网触发操作,向入网管理客户端发送入网指令,以指示所述入网管理客户端为本端的终端设备提供入网所需的用户名和动态密码;
获取所述入网管理客户端提供的所述用户名和所述动态密码;所述用户名由所述终端设备的设备ID加密得到,所述动态密码由所述设备ID和当前时间步长内的时间值加密得到,所述设备ID是认证服务器为所述终端设备生成的;
根据所述用户名和所述动态密码,生成入网认证请求,并将所述入网认证请求发送给所述认证服务器,以供所述认证服务器对所述终端设备进行入网认证。
7.根据权利要求6所述的方法,其特征在于,还包括:
在响应于所述入网触发操作时,展示一入网信息页面,以获取所述用户名和所述动态密码;
所述获取所述入网管理客户端提供的所述用户名和所述动态密码,包括:
从所述入网信息页面中获取所述用户名和所述动态密码;
其中,所述用户名和所述动态密码是由所述入网管理客户端填充至所述入网信息页面中,或者由所述用户从所述入网管理客户端的页面中复制到所述入网信息页面中。
8.一种入网认证方法,适用于认证服务器,其特征在于,包括:
接收终端设备发送的入网认证请求,所述入网认证请求包括用户名和动态密码,所述动态密码是由入网管理客户端为所述终端设备生成的;
按照设定的解密算法,对所述用户名进行解密,所述用户名是由所述终端设备的设备ID加密得到的,所述设备ID是认证服务器为所述终端设备生成的;
根据从所述用户名中解密出的所述终端设备的设备ID,对所述终端设备进行可信性验证;所述动态密码是由所述设备ID和生成所述动态密码时当前时间步长内的时间值加密得到的;
根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证。
9.根据权利要求8所述的方法,其特征在于,所述根据从所述用户名中解密出的所述终端设备的设备ID,对所述终端设备进行可信性验证,包括:
当从所述用户名中成功解密出所述设备ID时,根据所述设备ID查找注册设备列表,所述注册设备列表存储有已注册设备的设备ID;
若从所述注册设备列表中查询到所述设备ID,查询设备状态列表,所述设备状态列表存储有已注册设备的状态;
若从所述设备状态列表中查询到所述终端设备处于正常状态,确定所述终端设备通过可信性验证。
10.根据权利要求8所述的方法,其特征在于,所述用户名中还包括:所述终端设备对应的用户ID;
在根据从所述用户名中解密出的所述终端设备的设备ID,对所述终端设备进行可信性验证之前,所述方法还包括:
根据所述用户ID和预先注册的所述终端设备对应的用户信息,对所述终端设备所属的用户进行身份验证;
当所述终端设备所属的用户通过身份验证时,执行根据所述设备ID对所述终端设备进行可信性验证的操作。
11.根据权利要求8所述的方法,其特征在于,所述根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证,包括:
当所述终端设备通过可信性验证时,利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密,以生成至少两个动态密码;
根据所述至少两个动态密码和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证;
其中,所述至少两个时间步长包括当前时间步长以及与当前时间步长相距最近的至少一个历史时间步长。
12.根据权利要求11所述的方法,其特征在于,在利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密,以获得至少两个动态密码之前,所述方法还包括:
根据所述设备ID判断已认证设备的映射数据中是否存在所述终端设备上次认证通过所使用的动态密码;
若判断结果为存在,根据所述终端设备上次认证通过所使用的动态密码和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证;
若判断结果为不存在,执行利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密,以生成至少两个动态密码的操作。
13.根据权利要求8所述的方法,其特征在于,在接收终端设备发送的入网认证请求之前,所述方法还包括:
接收入网管理客户端发送的注册请求,所述注册请求携带有所述终端设备的硬件信息;
根据所述硬件信息为所述终端设备生成所述设备ID;
对所述设备ID进行加密,生成所述用户名;
利用所述用户名和所述设备ID对种子密钥进行加密,以获得加密后的种子密钥;
将所述用户名、所述设备ID以及所述加密后的种子密钥发送给所述入网管理客户端。
14.一种电子设备,其特征在于,包括:存储器以及处理器;
所述存储器,用于存储程序;
所述处理器,与所述存储器耦合,用于执行所述存储器中的所述程序,以用于:
根据终端设备的入网指令,获取所述终端设备的设备ID以及由所述设备ID加密得到的用户名,所述设备ID是认证服务器为所述终端设备生成的;
利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密,以获得动态密码;
将所述用户名和所述动态密码提供给所述终端设备,以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。
15.一种终端设备,其特征在于,包括:存储器、处理器以及通信组件;
所述存储器,用于存储程序;
所述处理器,与所述存储器耦合,用于执行所述存储器中的所述程序,以用于:
响应于入网触发操作,控制所述通信组件向入网管理客户端发送入网指令,以指示所述入网管理客户端为所述终端设备提供入网所需的用户名和动态密码;
获取所述入网管理客户端提供的所述用户名和所述动态密码;所述用户名由所述终端设备的设备ID加密得到,所述动态密码由所述设备ID和当前时间步长内的时间值加密得到,所述设备ID是认证服务器为所述终端设备生成的;
根据所述用户名和所述动态密码,生成入网认证请求,并控制所述通信组件将所述入网认证请求发送给所述认证服务器,以供所述认证服务器对所述终端设备进行入网认证;
所述通信组件,用于向所述入网管理客户端发送所述入网指令,并将所述入网认证请求发送给所述认证服务器。
16.一种认证服务器,其特征在于,存储器、通信组件以及处理器;
所述存储器,用于存储程序;
所述通信组件,用于接收终端设备发送的入网认证请求,所述入网认证请求包括用户名和动态密码,所述动态密码是由入网管理客户端为所述终端设备生成的;
所述处理器,与所述存储器耦合,用于执行所述存储器中的所述程序,以用于:
按照设定的解密算法,对所述用户名进行解密,所述用户名是由所述终端设备的设备ID加密得到的,所述设备ID是所述认证服务器为所述终端设备生成的;
根据从所述用户名中解密出所述终端设备的设备ID,对所述终端设备进行可信性验证;所述动态密码是由所述设备ID和生成所述动态密码时当前时间步长内的时间值加密得到的;
根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码,对所述终端设备进行合法性验证。
17.一种认证系统,其特征在于,包括:终端设备、入网管理客户端以及认证服务器;
所述终端设备,用于响应于入网触发操作,向所述入网管理客户端发送入网指令;获取所述入网管理客户端提供的用户名和动态密码;以及根据所述用户名和所述动态密码,生成入网认证请求,并将所述入网认证请求发送给所述认证服务器;
所述入网管理客户端,用于根据所述入网指令,获取设备ID以及所述用户名;利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密,以获得所述动态密码;以及将所述用户名和所述动态密码提供给所述终端设备;所述用户名由所述设备ID加密得到的;
所述认证服务器,用于接收所述入网认证请求,所述入网认证请求包括所述用户名和所述动态密码;根据从所述用户名中解密出的所述设备ID,对所述终端设备进行可信性验证;以及根据可信性验证结果、所述设备ID和所述动态密码,对所述终端设备进行合法性验证。
18.根据权利要求17所述的系统,其特征在于,所述入网管理客户端安装于所述终端设备上。
19.根据权利要求17或18所述的系统,其特征在于,还包括:NAS设备和Radius服务器;所述终端设备通过所述NAS设备与所述Radius服务器连接,所述Radius服务器与所述认证服务器连接。
CN201710595977.6A 2017-07-20 2017-07-20 入网认证方法、装置及系统 Active CN109286932B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201710595977.6A CN109286932B (zh) 2017-07-20 2017-07-20 入网认证方法、装置及系统
TW107120281A TWI756439B (zh) 2017-07-20 2018-06-13 入網認證方法、裝置及系統
US16/632,316 US11616775B2 (en) 2017-07-20 2018-07-09 Network access authentication method, apparatus, and system
PCT/CN2018/094933 WO2019015500A1 (zh) 2017-07-20 2018-07-09 入网认证方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710595977.6A CN109286932B (zh) 2017-07-20 2017-07-20 入网认证方法、装置及系统

Publications (2)

Publication Number Publication Date
CN109286932A CN109286932A (zh) 2019-01-29
CN109286932B true CN109286932B (zh) 2021-10-19

Family

ID=65016512

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710595977.6A Active CN109286932B (zh) 2017-07-20 2017-07-20 入网认证方法、装置及系统

Country Status (4)

Country Link
US (1) US11616775B2 (zh)
CN (1) CN109286932B (zh)
TW (1) TWI756439B (zh)
WO (1) WO2019015500A1 (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109286932B (zh) 2017-07-20 2021-10-19 阿里巴巴集团控股有限公司 入网认证方法、装置及系统
JP7338386B2 (ja) * 2019-10-04 2023-09-05 富士フイルムビジネスイノベーション株式会社 情報処理装置、情報処理システム及びプログラム
CN110784317B (zh) 2019-10-30 2022-09-13 京东方科技集团股份有限公司 一种数据加密的交互方法、装置及系统
CN111343289B (zh) * 2020-05-22 2020-09-25 苏宁智能终端有限公司 基于mqtt协议的消息推送方法及系统
CN112492602B (zh) * 2020-11-19 2023-08-01 武汉武钢绿色城市技术发展有限公司 5g终端安全接入装置、系统及设备
CN112512047B (zh) * 2020-11-19 2022-06-10 四川省肿瘤医院 一种无线网络安全认证的检测方法
CN112533203A (zh) * 2020-11-20 2021-03-19 深圳市元征科技股份有限公司 基于Zigbee的入网方法及相关装置
TWI747645B (zh) * 2020-12-07 2021-11-21 中華電信股份有限公司 用戶駐地裝置的服務供裝伺服器和服務供裝方法
EP4260545A1 (en) * 2020-12-09 2023-10-18 Sony Group Corporation Broker device, publisher device, subscriber device, publisher-subscriber system, publisher-subscriber method
CN112637157A (zh) * 2020-12-14 2021-04-09 国网电动汽车服务有限公司 一种可信的换电设备接入方法
CN114866265B (zh) * 2021-01-20 2024-04-19 晶晨半导体(上海)股份有限公司 网络连接方法、路由器、管理员终端设备以及通信设备
CN113114623B (zh) * 2021-03-12 2022-09-06 深圳市广和通无线股份有限公司 数据连接方法、装置、终端设备和计算机可读存储介质
CN113285949B (zh) * 2021-05-21 2022-03-25 新华三大数据技术有限公司 一种外网访问控制方法、装置、设备及存储介质
CN113873511A (zh) * 2021-07-16 2021-12-31 天翼智慧家庭科技有限公司 一种基于远程验证的Zigbee安全入网方法和系统
CN113727345A (zh) * 2021-08-30 2021-11-30 展讯半导体(成都)有限公司 无线网络连接访问控制方法、装置、存储介质及终端
CN113949535B (zh) * 2021-09-18 2024-03-29 陈德周 一种基于区块链的联网设备监管认证方法及系统
CN113746864B (zh) * 2021-09-22 2023-06-23 中国联合网络通信集团有限公司 用户终端的认证方法、装置、设备、存储介质
CN114138365B (zh) * 2021-11-30 2024-02-23 深信服科技股份有限公司 一种认证方法、装置、电子设备及存储介质
WO2023225824A1 (zh) * 2022-05-23 2023-11-30 北京小米移动软件有限公司 设备入网的方法、装置、存储介质及电子设备
CN115150143B (zh) * 2022-06-24 2024-03-12 国家石油天然气管网集团有限公司 工控设备入网认证方法、装置、设备和存储介质
CN116389032B (zh) * 2022-12-29 2023-12-08 国网甘肃省电力公司庆阳供电公司 一种基于sdn架构的电力信息传输链路身份验证方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101500232A (zh) * 2009-03-13 2009-08-05 北京华大智宝电子系统有限公司 实现动态身份认证的方法及系统
CN105099690A (zh) * 2014-05-19 2015-11-25 江苏博智软件科技有限公司 一种移动云计算环境下基于otp和用户行为的认证授权方法
CN106789883A (zh) * 2016-11-21 2017-05-31 美的智慧家居科技有限公司 连接服务器的方法和装置
CN106888455A (zh) * 2016-08-15 2017-06-23 阿里巴巴集团控股有限公司 一种无线局域网接入认证方法、装置及系统

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996027155A2 (en) 1995-02-13 1996-09-06 Electronic Publishing Resources, Inc. Systems and methods for secure transaction management and electronic rights protection
CN103810411B (zh) * 2002-05-29 2018-01-12 索尼株式会社 信息处理系统
US7360096B2 (en) * 2002-11-20 2008-04-15 Microsoft Corporation Securely processing client credentials used for Web-based access to resources
US7454785B2 (en) 2002-12-19 2008-11-18 Avocent Huntsville Corporation Proxy method and system for secure wireless administration of managed entities
JP4240297B2 (ja) 2003-04-21 2009-03-18 ソニー株式会社 端末機器、認証端末プログラム、機器認証サーバ、機器認証プログラム
JP2004342088A (ja) 2003-04-21 2004-12-02 Sony Corp 端末機器認証システム、端末機器、第1の振り分けサーバ、振り分けシステム、サービスサーバ、第2の振り分けサーバ、端末機器方法、第1の振り分け方法、振り分け方法、サービス提供方法、サービスサーバ方法、第1の振り分け方法、第2の振り分け方法、端末機器プログラム、第1の振り分けプログラム、振り分けプログラム、サービスサーバプログラム、第2の振り分けプログラム、及び記憶媒体
CN100518411C (zh) * 2005-05-24 2009-07-22 北京宇信易诚科技有限公司 一种基于移动通信终端的动态密码系统及方法
US20070186115A1 (en) 2005-10-20 2007-08-09 Beijing Watch Data System Co., Ltd. Dynamic Password Authentication System and Method thereof
US20070220594A1 (en) 2006-03-04 2007-09-20 Tulsyan Surendra K Software based Dynamic Key Generator for Multifactor Authentication
US20090097459A1 (en) * 2007-10-15 2009-04-16 Sony Ericsson Mobile Communications Ab Method for wan access to home network using one time-password
US9112909B2 (en) 2008-02-13 2015-08-18 Futurewei Technologies, Inc. User and device authentication in broadband networks
US8484705B2 (en) 2008-04-25 2013-07-09 Hewlett-Packard Development Company, L.P. System and method for installing authentication credentials on a remote network device
US9218469B2 (en) 2008-04-25 2015-12-22 Hewlett Packard Enterprise Development Lp System and method for installing authentication credentials on a network device
US9084071B2 (en) * 2009-09-10 2015-07-14 Michael-Anthony Lisboa Simple mobile registration mechanism enabling automatic registration via mobile devices
US8984588B2 (en) 2010-02-19 2015-03-17 Nokia Corporation Method and apparatus for identity federation gateway
US20110219427A1 (en) 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
US8627424B1 (en) 2010-06-30 2014-01-07 Emc Corporation Device bound OTP generation
US20120323786A1 (en) 2011-06-16 2012-12-20 OneID Inc. Method and system for delayed authorization of online transactions
CN102378175A (zh) 2011-10-08 2012-03-14 华为终端有限公司 一种无线局域网络认证方法及移动终端
US9292670B2 (en) * 2012-02-29 2016-03-22 Infosys Limited Systems and methods for generating and authenticating one time dynamic password based on context information
US20130262873A1 (en) 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
US9641521B2 (en) 2012-09-14 2017-05-02 Iovation Llc Systems and methods for network connected authentication
CN105052072A (zh) * 2012-12-28 2015-11-11 威斯科数据安全国际有限公司 远程认证和业务签名
US9143492B2 (en) * 2013-03-15 2015-09-22 Fortinet, Inc. Soft token system
US10348721B2 (en) 2013-10-30 2019-07-09 Hewlett Packard Enterprise Development Lp User authentication
WO2015130700A1 (en) 2014-02-26 2015-09-03 Secureauth Corporation Security object creation, validation, and assertion for single sign on authentication
US9378345B2 (en) 2014-04-29 2016-06-28 Bank Of America Corporation Authentication using device ID
CN104539785B (zh) * 2014-08-22 2017-02-01 南京速帕信息科技有限公司 一键放行的手机令牌的实现方法
US9894520B2 (en) * 2014-09-24 2018-02-13 Fortinet, Inc. Cache-based wireless client authentication
US20160149894A1 (en) 2014-11-25 2016-05-26 Appright, Inc. System and method for providing multi factor authentication
TWI573083B (zh) * 2015-06-12 2017-03-01 蓋特資訊系統股份有限公司 有效期的個人交易碼產生方法、認證方法與其系統
US9594922B1 (en) * 2015-06-30 2017-03-14 EMC IP Holding Company LLC Non-persistent shared authentication tokens in a cluster of nodes
CN106341372A (zh) * 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 终端的认证处理、认证方法及装置、系统
US10171439B2 (en) 2015-09-24 2019-01-01 International Business Machines Corporation Owner based device authentication and authorization for network access
US10785219B1 (en) * 2015-11-16 2020-09-22 EMC IP Holding Company LLC Methods, systems, and computer readable mediums for securely establishing credential data for a computing device
US10404628B2 (en) * 2017-03-02 2019-09-03 Verizon Patent And Licensing Inc. Systems and methods for providing requested user information to a validated user
US10341864B2 (en) * 2017-03-03 2019-07-02 Verizon Patent And Licensing Inc. Network-based device registration for content distribution platforms
US20180278607A1 (en) * 2017-03-22 2018-09-27 Amazon Technologies, Inc. Device Credentials Management
US10158982B2 (en) * 2017-04-25 2018-12-18 Vmware, Inc. Message-based management service enrollment
US20180330368A1 (en) * 2017-05-11 2018-11-15 Circle Media Labs Inc. Secure authenticated passwordless communications between networked devices
CN109286932B (zh) 2017-07-20 2021-10-19 阿里巴巴集团控股有限公司 入网认证方法、装置及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101500232A (zh) * 2009-03-13 2009-08-05 北京华大智宝电子系统有限公司 实现动态身份认证的方法及系统
CN105099690A (zh) * 2014-05-19 2015-11-25 江苏博智软件科技有限公司 一种移动云计算环境下基于otp和用户行为的认证授权方法
CN106888455A (zh) * 2016-08-15 2017-06-23 阿里巴巴集团控股有限公司 一种无线局域网接入认证方法、装置及系统
CN106789883A (zh) * 2016-11-21 2017-05-31 美的智慧家居科技有限公司 连接服务器的方法和装置

Also Published As

Publication number Publication date
WO2019015500A1 (zh) 2019-01-24
TWI756439B (zh) 2022-03-01
TW201909614A (zh) 2019-03-01
CN109286932A (zh) 2019-01-29
US20200169548A1 (en) 2020-05-28
US11616775B2 (en) 2023-03-28

Similar Documents

Publication Publication Date Title
CN109286932B (zh) 入网认证方法、装置及系统
US10667131B2 (en) Method for connecting network access device to wireless network access point, network access device, and application server
US20220014524A1 (en) Secure Communication Using Device-Identity Information Linked To Cloud-Based Certificates
US8327143B2 (en) Techniques to provide access point authentication for wireless network
US20160269176A1 (en) Key Configuration Method, System, and Apparatus
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
EP3425842B1 (en) Communication system and communication method for certificate generation
US20160119316A1 (en) Wireless network authentication method and wireless network authentication apparatus
EP3592017B1 (en) Credential information processing method and apparatus for network connection, and application (app)
TW201706900A (zh) 終端的認證處理、認證方法及裝置、系統
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
EP2710781A1 (en) Trusted mobile device based security
EP2924944B1 (en) Network authentication
WO2016018714A1 (en) Apparatus and method for sharing a hardware security module interface in a collaborative network
WO2016115807A1 (zh) 无线路由器的接入处理、接入方法及装置
US8397281B2 (en) Service assisted secret provisioning
WO2022111187A1 (zh) 终端认证方法、装置、计算机设备及存储介质
WO2023280194A1 (zh) 网络连接管理方法、装置、可读介质、程序产品及电子设备
WO2017076216A1 (zh) 服务器、移动终端、网络实名认证系统及方法
US9503442B1 (en) Credential-based application programming interface keys
CN106535089B (zh) 机器对机器虚拟私有网络
US9917694B1 (en) Key provisioning method and apparatus for authentication tokens
CN114697963A (zh) 终端的身份认证方法、装置、计算机设备和存储介质
US20180357411A1 (en) Authentication Of A Device
US11032708B2 (en) Securing public WLAN hotspot network access

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant