CN111866881A - 无线局域网认证方法与无线局域网连接方法 - Google Patents

无线局域网认证方法与无线局域网连接方法 Download PDF

Info

Publication number
CN111866881A
CN111866881A CN202010806747.1A CN202010806747A CN111866881A CN 111866881 A CN111866881 A CN 111866881A CN 202010806747 A CN202010806747 A CN 202010806747A CN 111866881 A CN111866881 A CN 111866881A
Authority
CN
China
Prior art keywords
authenticated
key
terminal
network side
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010806747.1A
Other languages
English (en)
Inventor
赵乾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010806747.1A priority Critical patent/CN111866881A/zh
Publication of CN111866881A publication Critical patent/CN111866881A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开涉及对企业无线网络中的路由器(无线接入设备)的接入控制。本公开提供了一种无线局域网认证方法与无线局域网连接方法、以及电子设备。所述无线局域网认证方法,包括:从无线局域网服务器接收接入密钥;从待认证终端接收用于连接无线网络的认证请求,所述认证请求包括待认证信息,其中所述待认证信息是所述待认证终端基于用户输入密钥而生成的;基于所述接入密钥,对所述待认证信息进行认证;在所述待认证信息认证通过的情况下,输出认证成功消息;在所述待认证信息认证不通过的情况下,向所述待认证终端发送认证失败消息。本公开通过使用认证器来对无线终端进行认证,实现了企业可自主设计/更新密钥规则以及密钥、密钥对WLAN设备厂商以及无线接入设备均不可见的效果。

Description

无线局域网认证方法与无线局域网连接方法
技术领域
本公开涉及无线通信领域,并且更具体地涉及一种无线局域网认证方法、无线局域网连接方法以及电子设备。
背景技术
企业无线局域网(WLAN)的市场规模巨大。
大部分的中大型企业每年都有企业WLAN的需求。企业WLAN的优势至少包括:每台设备具有其特定的密码、每个用户具有其特定的密码、访客可拥有访客专属的密码、办公人员可拥有其专属的密码、各个密码具有不同的优先级等等。
然而,在当前的企业无线局域网在认证无线终端的接入密钥的过程中,企业无线局域网络和无线终端使用的密钥都是WLAN设备厂商随机生成和分配的。密钥的生成规则是由WLAN设备厂商决定的,并且WLAN设备厂商都会存储一份特定于企业的密钥。此外,企业无线局域网络和无线终端使用的密钥对于无线接入设备(例如路由器)均是可见的,从而导致了密码泄露的风险。当前的企业无线局域网络仍存在安全隐患,对于医疗、金融、征信、银行、政务等要求数据高度安全的企业仍不够友好。
发明内容
为了克服现有技术中存在的缺陷,本公开提出了一种无线局域网认证方法、无线局域网连接方法以及电子设备。
根据本公开的各个方面的无线局域网认证方法、无线局域网连接方法以及电子设备,通过使用认证器来对无线终端进行认证,实现了企业可自主设计/更新密钥规则以及密钥、密钥对WLAN设备厂商以及无线接入设备均不可见的效果。
根据本公开的一个方面,提供了一种无线局域网认证方法。该方法包括:从无线局域网服务器接收接入密钥,其中所述接入密钥是所述无线局域网服务器为所述无线局域网的每个用户分配的用户特定密钥;从待认证终端接收用于连接无线网络的认证请求,所述认证请求包括待认证信息,其中所述待认证信息是所述待认证终端基于用户输入密钥而生成的;基于所述接入密钥,对所述待认证信息进行认证;在所述待认证信息认证通过的情况下,输出认证成功消息;在所述待认证信息认证不通过的情况下,向所述待认证终端发送认证失败消息。
根据本公开的另一方面,提供了一种无线局域网连接方法。该方法包括:向待认证终端发送接入点随机值和网络侧设备标识;在从认证器获取到认证成功消息的情况下,从认证器获取网络侧的成对临时密钥;基于所述网络侧的成对临时密钥,生成第二消息完整性校验码;以及向待认证终端发送第二消息完整性校验码。
根据本公开的另一方面,提供了一种无线局域网连接方法。该方法包括:从网络侧设备接收接入点随机值和网络侧设备标识;获取用户输入密钥;基于所述用户输入密钥、终端随机值、接入点随机值和网络侧设备标识,生成待认证成对临时密钥;基于所述待认证成对临时密钥,生成待认证信息,其中,所述待认证信息包括终端随机值和第一消息完整性校验码,第一消息完整性校验码是待认证成对临时密钥的至少一部分;向认证器发送所述待认证信息;从网络侧设备接收第二消息完整性校验码;基于所述第一消息完整性校验码和第二消息完整性校验码,确定所述待认证成对临时密钥是否有效;在确定所述待认证成对临时密钥有效的情况下,接收或发送利用所述待认证成对临时密钥加密的单播数据流。
根据本公开的一个方面,提供了一种无线局域网认证方法,包括:由网络侧设备向待认证终端发送接入点随机值和网络侧设备标识;由待认证终端获取用户输入密钥;由待认证终端基于所述用户输入密钥、终端随机值、接入点随机值和网络侧设备标识,生成待认证成对临时密钥;由待认证终端基于所述待认证成对临时密钥,生成并向认证器发送待认证信息,其中,所述待认证信息包括终端随机值和第一消息完整性校验码,第一消息完整性校验码是待认证成对临时密钥的至少一部分;由认证器从无线局域网服务器接收接入密钥,其中所述接入密钥是所述无线局域网服务器为所述无线局域网的每个用户分配的用户特定密钥;由认证器从所述待认证终端接收所述待认证信息;由认证器基于所述接入密钥,对所述待认证信息进行认证;在所述待认证信息认证通过的情况下,由认证器向所述网络侧设备输出认证成功消息;在所述待认证信息认证不通过的情况下,由认证器向所述待认证终端发送认证失败消息。
根据本公开的另一方面,提供了一种电子设备,包括:处理器;以及存储器,其中,所述存储器中存储有计算机可执行程序,当由所述处理器执行所述计算机可执行程序时,执行上述方法。
根据本公开的另一方面,提供了一种计算机可读存储介质,其上存储有指令,所述指令在被处理器执行时,使得所述处理器执行上述方法。
根据本公开的另一方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各个方面或者上述各个方面的各种可选实现方式中提供的方法。根据本公开的一个方面,提供了一种认证器。该认证器可以包括:第一收发器,被配置为从无线局域网服务器接收接入密钥,其中所述接入密钥是所述无线局域网服务器为所述无线局域网的每个用户分配的用户特定密钥;所述存储器,被配置为存储加密后的接入密钥;第二收发器,被配置为从待认证终端接收用于连接无线网络的认证请求,所述认证请求包括待认证信息,其中所述待认证信息是基于所述待认证终端基于用户输入密钥而生成的;认证器,被配置为基于所述接入密钥,对所述待认证信息进行认证;认证消息传递接口,被配置为在所述待认证信息认证通过的情况下,向网络侧设备提供认证成功消息;第三收发器,被配置为在所述待认证信息认证不通过的情况下,向所述待认证终端发送认证失败消息。
根据本公开的一个方面,提供了一种网络侧设备。该网络侧设备可以包括:第一收发器,被配置为向待认证终端发送接入点随机值和网络侧设备标识;成对临时密钥获取器,被配置为:在从认证器获取到认证成功消息的情况下,从认证器获取成对临时密钥;基于所述网络侧的成对临时密钥,生成第二消息完整性校验码;第二收发器,被配置为向待认证终端发送加密后的第二消息完整性校验码。
根据本公开的一个方面,提供了一种待认证终端。该待认证终端可以包括:第一收发器,被配置为从网络侧设备接收接入点随机值和网络侧设备标识;密钥获取器,被配置为获取用户输入密钥;成对临时密钥生成器,被配置为基于所述用户输入密钥、终端随机值、接入点随机值和网络侧设备标识,生成待认证成对临时密钥。待认证信息生成器,被配置为基于所述待认证成对临时密钥,生成待认证信息,其中,所述待认证信息包括终端随机值和第一消息完整性校验码,第一消息完整性校验码是待认证成对临时密钥的至少一部分。第二收发器,被配置为向认证器发送所述待认证信息;第三收发器,被配置为从网络侧设备接收第二消息完整性校验码;验证器,被配置为基于所述第一消息完整性校验码和第二消息完整性校验码,确定所述待认证成对临时密钥是否有效。第四收发器,被配置为在确定所述待认证成对临时密钥有效的情况下,接收或发送利用所述待认证成对临时密钥加密的单播数据流。
在本公开中,无线局域网认证方法与无线局域网连接方法将Wi-Fi认证的密钥加密的存储在认证器中,非授权用户无法从网络侧设备中获取到Wi-Fi认证密钥,进而无法非法地接入企业无线局域网。同时,在无线局域网认证方法与无线局域网连接方法中,密钥对网络侧设备不可见。由此,非授权用户无法通过网络侧设备获取到接入企业无线局域网的密钥。从而,本公开的实施例实现了企业可自主设计/更新密钥规则以及密钥、密钥对WLAN设备厂商以及无线接入设备均不可见的效果。
附图说明
通过结合附图对本公开实施例进行更详细的描述,本公开的上述以及其它目的、特征和优势将变得更加明显。附图用来提供对本公开实施例的进一步理解,并且构成说明书的一部分,与本公开实施例一起用于解释本公开,并不构成对本公开的限制。在附图中,相同的参考标号通常代表相同部件或步骤。
图1A示出了企业无线局域网的架构图。
图1B示出了使用WPA/WPA2-PPSK认证的企业无线局域网的示意图。
图1C示出了在企业无线局域网中无线终端与无线接入点进行连接的过程的流程图。
图1D示出了基于局域网的扩展认证协议EAPOL(Extensible AuthenticationProtocol over LAN,基于局域网的扩展认证协议)的四次握手过程的消息图。
图2A是应用本公开实施例的企业无线局域网的架构图。
图2B是根据本公开实施例的无线局域网认证方法的流程图。
图2C是应用本公开实施例的无线局域网认证方法的消息流转图。
图3A是根据本公开实施例的无线局域网认证方法的流程图。
图3B是根据本公开实施例的数据加密流程的示意图。
图3C是根据本公开实施例的数据加密流程的另一示意图。
图4是根据本公开实施例的无线局域网连接方法的流程图。
图5是根据本公开实施例的无线局域网连接方法的流程图。
图6示出了根据本公开实施例的设备的架构。
图7是根据本公开实施例的认证器的示意图。
图8是根据本公开实施例的网络侧设备的示意图。
图9是根据本公开实施例的待认证设备的示意图。
具体实施方式
为了使得本公开的目的、技术方案和优点更为明显,下面将参照附图详细描述根据本公开的示例实施例。在附图中,相同的参考标号自始至终表示相同的元件。应当理解:这里描述的实施例仅仅是说明性的,而不应被解释为限制本公开的范围。
图1A示出了企业无线局域网的架构图。图1B示出了使用WPA/WPA2-PPSK认证的企业无线局域网的示意图。图1C示出了在企业无线局域网中无线终端与无线接入点进行连接的过程的流程图。图1D示出了EAPOL的四次握手过程的流程图。
当前的企业无线局域网采用了WPA/WPA2-PSK或WPA/WPA2-PPSK认证的方式。WPA(Wi-Fi Protected Access,Wi-Fi保护性接入)是Wi-Fi联盟制定的安全性标准,WPA2是第二个版本。PSK为成对共享密钥。PPSK为个人成对共享密钥。
如图1A所示,终端101-104想要连接企业无线局域网时,需要向无线接入点(AP)发起连接请求,并且连接请求中包括连接密码。无线接入点AP向接入控制器(AC)转发终端发送的连接密码。接入控制器(AC)中预存有由WLAN管理服务器生成和下发的密码。由此,接入控制器AC可以对终端发送的连接密码进行校验。在密码校验通过后,终端即可通过无线接入点AP接入企业无线局域网。无线接入点AP和接入控制器AC可以统称为网络侧设备。
在当前的企业无线局域网中,接入控制器(AC)中预存的连接密码是由厂商的WLAN管理服务器生成和下发的。该连接密码的生成规则是由WLAN设备厂商决定的,并且WLAN设备厂商都会存储一份特定于企业的密钥。此外,企业无线局域网络和无线终端使用的密钥对于网络侧设备(例如,图1A中的接入控制器AC和无线接入点AP)均是可见的,从而导致了密码泄露的风险。
图1B的左图给出了WPA/WPA2-PSK认证的示意图。如图1B的左图所示,所有终端设备均需要使用用户输入密钥“XXX1234”接入企业无线局域网。企业无线局域网的服务集标识(Service Set Identifier,SSID)为“XXX”。服务集标识SSID通常是用户终端上显示的Wi-Fi网络的名字。用户输入密钥是用户向待认证的用户终端输入的密钥(例如,在日常生活/生产中所说的Wi-Fi密码),或者用户终端预存的用于接入企业无线局域网的密钥。
图1B的右图给出了WPA/WPA2-PPSK认证的示意图。如图1B的右图所示,用户可以具有多个终端设备。例如,用户A拥有两个终端设备,手机和办公用的电脑。这两个终端设备均可使用用户输入密钥“XXX123”接入企业无线局域网(SSID=“XXXX”)。用户B具有一个终端设备,针对用户B特定的用户输入密钥为“XXX456”。用户B可以使用该密钥接入企业无线局域网。
相比于应用WPA/WPA2-PSK应用的企业无线局域网,WPA/WPA2-PPSK的企业无线局域网可以使得不同用户具有不同的用户输入密钥。
以下通过图1C简述终端接入企业无线局域网的过程。
在终端设备使用Wi-Fi功能时,用户可以打开终端的Wi-Fi功能,搜索到想要加入的无线网络,输入密码,联网成功。整个过程包括:扫描(Scanning)、认证(Authentication)、关联(Association)。
扫描过程包括主动扫描和被动扫描。被动扫描包括网络侧设备定期发送信标数据包(beacon),使无线终端更新自己的无线网络列表。主动扫描包括:无线终端在每个信道广播探测请求(Probe Request)。接着,接收到探测请求的网络侧设备向无线终端回应探测响应(Probe Response)。探测响应包含服务集标识SSID,以使得无线终端能够更新自己的无线网络列表。
在扫描过程之后,无线终端可以获得企业无线局域网相关的信息,比如MAC地址(Media Access Control Address,媒体存取控制位址)、服务集标识(SSID)、扩展服务集标识(ESSID)、基本服务集标识(BSSID)等等。其中,基本服务集标识(BSSID)为无线路由器的MAC地址。扩展服务集标识(ESSID)又称为服务区别好,其用来区分不同的大型网络,最多32个字符。
之后,无线终端和网络侧设备将进入认证过程。
本公开主要涉及认证过程。认证过程可以分为开放系统认证、共享密钥认证和预先身份认证等等方式。WPA/WPA2-PPSK认证和WPA/WPA2-PSK认证主要涉及预先身份认证的方式。WPA/WPA2-PPSK认证和WPA/WPA2-PSK认证的过程包括EAPOL(ExtensibleAuthentication Protocol over LAN,基于局域网的扩展认证协议)四次握手的过程。
在认证过程结束后,无线终端将和网络侧设备执行关联过程。具体地,无线终端给网络侧设备发送关联请求(association request)数据包。网络侧设备给无线终端发送关联响应(association response)数据包。
关联过程完成之后,无线终端完成了与企业无线局域网的接入过程。
参考图1D简单的描述EAPOL四次握手过程。
如图1D所示,在网络侧设备和终端开始四步握手认证前,会分别基于认证口令和服务集标识SSID,在本地使用密钥生成函数(PRF)预先生成PMK(Pairwise Master Key,成对主密钥)。其中,认证口令为连接Wi-Fi所需要的密码,SSID(Service Set Identifier,服务集标识)是终端和网络侧设备进行空口传输时使用的服务集标识(例如,SSID通常是用户终端上显示的Wi-Fi网络的名字)。
在步骤S101中,网络侧设备生成接入点随机值ANonce,并发送给终端。ANonce是在WPA/WPA2-PPSK认证和WPA/WPA2-PSK认证过程中,网络侧设备产生的用于生成成对临时密钥PTK的随机数。该步骤又被称为第一次握手。
在步骤S102中,无线终端生成终端随机值SNonce,根据ANonce、SNonce、路由器MAC、终端MAC和PMK计算得到PTK和第一MIC(消息完整性校验码)。SNonce是在WPA/WPA2-PPSK认证和WPA/WPA2-PSK认证过程中,终端产生的用于生成成对临时密钥PTK的随机数。
在步骤S103中,终端将SNonce和EAPOL-KEY MIC发送给网络侧设备。该过程又被称为第二次握手。
在步骤S104中,网络侧设备接收到SNonce,同样计算得到PTK和第二MIC,并和终端发送的第一MIC进行匹配校验。
在步骤S105中,校验成功后,网络侧设备发送第二MIC给终端。该过程又被称为第三次握手。
在步骤S106中,终端再次校验网络侧设备发送的第二MIC。
在步骤S107中,终端发送密钥确认给网络侧设备。该过程又被称为第四次握手。校验通过后,终端安装(Install)步骤S101中的PTK。安装是指使用PTK来对数据进行加密。
在步骤S108中,网络侧设备接收到终端的密钥确认,安装步骤S104生成的PTK,完成整个校验过程。
WPA2-PSK方式的终端交互认证流程和WPA-PSK一致,只是使用了更安全的计数器模式密码块链消息完整码协议CCMP(Counter CBC-MAC Protocol)加密方法代替了暂时密钥集成协议TKIP(Temporal Key Integrity Protocol),来生成PTK密钥。
目前,Wi-Fi认证的密钥在网络侧设备(例如,路由器、接入控制器等)本地存储,并在协议之外的线上或线下场景中,告知终端用户。然后终端用户使用该密钥进行登录。由于Wi-Fi认证的密钥在路由器本地存储,非授权用户可能可以从路由器中获取到Wi-Fi认证密钥,进而非法接入企业无线局域网。此外,路由器中的Wi-Fi认证密钥通常是由图1A中的局域网管理服务器随机生成,分配到网络侧设备(AP或AC)上去的。Wi-Fi认证密钥的指定规则是局域网管理服务器决定的。并且所有的密钥,局域网管理服务器都会存储一份备份。局域网管理服务器通常位于设备厂商处,这导致了企业无线局域网的授权访问的安全隐患。
本公开采用私有云(Private Cloud)技术和/或混合云(Hybrid Cloud)技术,以避免设备厂商处的局域网管理服务器可能带来的安全隐患。
具体地,私有云技术是将云基础设施与软硬件资源创建在防火墙内,以供机构或企业内各部门共享数据中心内的资源。创建私有云,除了硬件资源外,一般还有云设备(IaaS,Infrastructure as a Service,基础设施即服务)软件。私有云计算同样包含云硬件、云平台、云服务三个层次。不同的是,云硬件是用户自己的个人电脑或服务器,而非云计算厂商的数据中心。私有云计算,对企业来说只服务于本企业员工以及本企业的客户和供应商,因此个人或企业自己的个人电脑或服务器已经足够用来提供云服务。
混合云(Hybrid Cloud)融合了公有云(Public Cloud)和私有云(PrivateCloud),是近年来云计算的主要模式和发展方向。其中,公有云通常指第三方提供商为用户提供的能够使用的云,公有云一般可通过Internet使用,可能是免费或成本低廉的,公有云的核心属性是共享资源服务。这种云有许多实例,可在当今整个开放的公有网络中提供服务。私有云主要是面向企业用户,出于安全考虑,企业更愿意将数据存放在私有云中,但是同时又希望可以获得公有云的计算资源,在这种情况下混合云被越来越多的采用,它将公有云和私有云进行混合和匹配,以获得最佳的效果,这种个性化的解决方案,达到了既省钱又安全的目的。
在本公开中,可以使用认证器来对无线终端进行认证,实现了企业可自主设计/更新密钥规则以及密钥、密钥对局域网管理服务器以及无线接入设备均不可见的效果。通过采用本公开的技术方案,非授权用户无法通过无线控制器AC或网络侧设备获取到接入企业无线局域网的密钥。
下面,将参照图2A至图2C来描述根据本公开实施例的无线局域网认证方法。
图2A是应用本公开实施例的企业无线局域网的架构图。图2B是根据本公开实施例的无线局域网认证方法200的流程图。图2C是应用本公开实施例的无线局域网认证方法的消息流转图。
参见图2A,在该应用本公开实施例的企业无线局域网中,包括:一个或多个待认证终端201、网络侧设备202、认证器203、无线局域网服务器204、局域网管理服务器205。
其中,待认证终端201可以是用户使用的任何一种的电子设备,例如,智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。待认证终端201还可以是能够在上述设备中搭载的各种应用软件,例如企业内部OA系统。待认证终端201可以通过基于电子和电子工程师学会(Institute of Electrical and ElectronicsEngineers,IEEE)802.11标准的无线局域网(wireless local area network,WLAN)或基于IEEE 802.16标准的全球微波接入互操作性(Worldwide Interoperability forMicrowave Access,WiMAX)接入互联网等。
网络侧设备202可以包括无线接入点2021和无线接入控制器2022。在小型企业网络中,无线接入点2021和无线接入控制器2022也可以为同一设备。网络侧设备202用于为待认证终端201提供网络服务,可选地,该网络侧设备202用于为待认证终端201接入网络。可选地,该网络侧设备202中包括的无线接入点2021为诸如路由器的无线接入点(AP)设备。无线接入点2021提供了有线网络和无线网络的桥梁,将无线接入点2021与有线设备进行有线连接,待认证终端201可以通过无线接入点2021进行无线网络接入。无线接入控制器2022可以确认待认证终端201的用户是否是授权用户,其可以与认证器203相配合以执行上述的EAPOL四次握手过程。
具体地,无线接入控制器2022和认证器203对待认证终端201进行基于可扩展认证协议(Extensible Authentication Protocol,EAP)的认证。待认证终端201通过EAP认证后,利用成对主密钥(pairwise master key,PMK),与无线接入控制器2022和认证器203协商确定待认证终端201接入WLAN的密钥。待认证终端201与宽带接入服务器(BroadbandRemote Access Server,BRAS)通信,以获得动态主机配置协议(Dynamic HostConfiguration Protocol,DHCP)服务器为待认证终端201分配的互联网协议(InternetProtocol,IP)地址。待认证终端201可利用获得的IP地址接入企业无线局域网。
可选地,认证器203可以与网络侧设备202分离地设置并通过电连接进行交互以传递待认证终端是否通过认证的消息。认证器203也可以作为一个软件模块设置在网络侧设备202中的无线接入点2021和无线接入控制器2022之上,以执行认证过程。在认证器203作为一个软件模块设置在网络侧设备202中时,认证器203中的密钥信息对于网络侧设备202不可见。
局域网管理服务器205是由硬件厂商提供的,其可以在待认证终端201通过认证后为待认证终端提供除认证管理以外的管理服务。
无线局域网服务器204是用于存储和向认证器203下发接入密钥。具体地,无线局域网服务器204可以利用企业网络管理人员自行设计的密钥规则,利用其内部的密钥生成器生成密钥。例如,其设计的密钥规则可以和员工ID、手机号绑定等等。可选地,局域网管理服务器205和无线局域网服务器204分离设置,以使得硬件厂商无法获知企业中授权用户使用的密钥。
无线局域网服务器204可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
参考图2B和图2C,描述根据本公开实施例的无线局域网认证方法200,该方法由图2A中的各个设备组成的系统来执行。
在步骤S2001中,由网络侧设备202向待认证终端201发送接入点随机值和网络侧设备标识。
可选地,参考图2C,网络侧设备202动态地生成接入点随机值ANonce,并发送给待认证终端201。ANonce是在WPA/WPA2-PPSK认证和WPA/WPA2-PSK认证过程中,网络侧设备202产生的用于生成成对临时密钥PTK的随机数。该步骤又被称为第一次握手。如前所述,网络侧设备202可以包括无线接入点2021和无线接入控制器2022,可以由所述无线接入点2021生成接入点随机值ANonce并将其提供给所述无线接入控制器2022,或者可以由所述无线接入控制器2022生成接入点随机值ANonce并将其提供给无线接入点2021。
在步骤S2002中,由待认证终端201获取用户输入密钥并生成终端随机值。
可选地,待认证终端通过提供用户界面获取用户输入密钥。其中,用户输入密钥为连接Wi-Fi所需要的密码,其可以在协议之外的线上或线下场景中,告知终端用户。
可选地,终端随机值(例如,图2C中的SNonce)是在WPA/WPA2-PPSK认证和WPA/WPA2-PSK认证过程中,待认证终端201产生的用于生成成对临时密钥的随机数。
在步骤S2003中,由待认证终端201基于用户输入密钥、终端随机值、接入点随机值和网络侧设备标识,生成待认证成对临时密钥。
例如,网络侧设备标识可以是网络侧设备202的MAC地址(Media Access ControlAddress,媒体存取控制位址)、企业无线局域网的服务集标识(SSID)、扩展服务集标识(ESSID)、基本服务集标识(BSSID)等等。网络侧设备标识已经在前序的扫描过程中发送给了待认证终端。
其中,SSID(Service Set Identifier,服务集标识)是待认证终端201和网络侧设备202进行空口传输时使用的服务集标识(例如,待认证终端201上显示的Wi-Fi网络的名字)。基本服务集标识(BSSID)为无线路由器的MAC地址(例如无线接入点2021的MAC地址)。扩展服务集标识(ESSID)又称为服务区别号,其用来区分不同的大型网络,最多32个字符。
待认证终端201基于用户输入密钥和网络侧设备标识,在本地使用密钥生成函数生成PMK(Pairwise Master Key,成对主密钥)。
接着,参考图2C,待认证终端201根据ANonce、SNonce、网络侧设备标识和PMK计算得到待认证成对临时密钥(例如图2C中的待认证的PTK)。
在步骤S2004中,由待认证终端基于所述待认证成对临时密钥,生成并向认证器发送待认证信息,其中,所述待认证信息包括终端随机值SNonce和第一消息完整性校验码,第一消息完整性校验码是待认证成对临时密钥的至少一部分。
在步骤S2005中,由认证器从无线局域网服务器接收接入密钥,其中所述接入密钥是所述无线局域网服务器为所述无线局域网的每个用户分配的用户特定密钥。
可选地,接入密钥可以是个人预共享密钥(Personal PreShared Key,PPSK)。在接收到PPSK后,认证器203可以在本地使用SHA1函数(一种加密函数,其是一种哈希算法)按照以下公式预先为每个用户生成其特定的成对主密钥(PMK)。
PMK=SHA1(PPSK,SSID,SSID_length)。
其中,SSID(Service Set Identifier,服务集标识)是终端和路由器进行空口传输时使用的服务集标识(例如,待认证终端201上显示的Wi-Fi网络的名字),SSID_length为SSID的长度。此时,只有在认证过程中,用户输入密钥和PPSK完全相同时,待认证终端201才能接入企业无线局域网。
当然,无线局域网服务器204也可以在其本地预先使用上述公式为每个用户生成其特定的PMK。然后将PMK作为接入密钥直接发送给认证器203。
可选地,在接收无线局域网服务器204发送的接入密钥后,认证器203可以对所述接入密钥进行加密,以避免任何非授权用户通过非法手段获取接入密钥。从而加强了认证器203的安全性。
在步骤S2006中,由认证器从所述待认证终端接收所述待认证信息。该过程又被称为第二次握手。
在步骤S2007中,由认证器基于所述接入密钥,对所述待认证信息进行认证。
可选地,认证器203可以执行以下步骤来对所述待认证信息进行认证。
例如,认证器203可以从所述待认证信息中获取终端随机值和所述第一消息完整性校验码;从网络侧设备获取接入点随机值;基于所述接入密钥、终端随机值、接入点随机值、网络侧设备标识、待认证终端的标识,生成网络侧的成对临时密钥;基于所述网络侧的成对临时密钥,对所述第一消息完整性校验码进行认证。
例如,参考图2C,认证器203从所述待认证信息中获取终端随机值SNonce和第一消息完整性校验码(图2C中的第一MIC)。接着,认证器203可以从网络侧设备202获取接入点随机值ANonce。
接着,认证器203可以基于所述接入密钥(PMK或PPSK)、终端随机值SNonce、接入点随机值ANonce、网络侧设备标识、待认证终端的标识,生成网络侧的成对临时密钥PTK2
认证器203基于该网络侧的成对临时密钥对待认证信息中的第一消息完整性校验码进行验证。例如,PTK2的前16个字节可以作为第二消息完整性校验码(第二MIC)。当第二MIC与从待认证终端201接收到的第一MIC相同时,认证器203则确定待认证终端发送的待认证信息通过。当第二MIC与第一MIC不同时,认证器203则确定待认证终端发送的待认证信息不通过。
在步骤S2008中,在待认证信息认证通过的情况下,由认证器向所述网络侧设备输出认证成功消息;在所述待认证信息认证不通过的情况下,由认证器向所述待认证终端发送认证失败消息。
在步骤S2009中,在所述网络侧设备从认证器获取到认证成功消息的情况下,由所述网络侧设备从认证器获取网络侧的成对临时密钥PTK2
在步骤S2010中,由所述网络侧设备基于所述网络侧的成对临时密钥PTK2,生成第二消息完整性校验码。
可选地,网络侧设备202根据网络侧的成对临时密钥PTK2获取第二消息完整性校验码。第二消息完整性校验码是网络侧的成对临时密钥PTK2的至少一部分。
在步骤S2011中,由所述网络侧设备基于所述接入点随机值,生成组临时密钥(例如,图2C中的GTK)。
可选地,在步骤S2012中,由所述网络侧设备对所述组临时密钥进行加密,得到加密后的组临时密钥。例如,使用网络侧的成对临时密钥PTK2对组临时密钥GTK加密。
在步骤S2013中,由所述网络侧设备向所述待认证终端发送所述第二消息完整性校验码和所述加密后的组临时密钥(或所述加密后的组临时密钥)。该步骤又被称为第3次握手。
在步骤S2014中,由所述待认证终端基于所述第一消息完整性校验码和所述第二消息完整性校验码,确定所述待认证成对临时密钥是否有效。
例如,当第一消息完整性校验码MIC和第二消息完整性校验码(第二MIC)相同时,待认证终端201确定所述待认证成对临时密钥有效。当第一消息完整性校验码和第二消息完整性校验码(第二MIC)不同时,待认证终端201确定所述待认证成对临时密钥无效。
在步骤S2015中,在所述待认证终端确定所述待认证成对临时密钥有效的情况下,由所述待认证终端向所述网络侧设备发送密钥确认信息。该过程又称为第4次握手。
此时,认证过程完成。待认证的成对临时密钥PTK与网络侧的成对临时密钥PTK2相同。由此,待认证终端201和网络侧设备均具备能够加密单播数据的成对临时密钥和能够加密广播数据的组临时密钥。
可选地,由所述待认证终端向所述网络侧设备发送或从所述网络侧设备接收利用所述组临时密钥加密的广播数据流。
可选地,由所述待认证终端向所述网络侧设备发送或从所述网络侧设备接收利用所述成对临时密钥加密的单播数据流。
在本公开中,可以使用认证器203来对待认证终端201进行认证,实现了企业可自主设计/更新密钥规则以及密钥、密钥对WLAN设备厂商以及无线接入设备均不可见的效果。通过采用本公开的技术方案,非授权用户无法通过网络侧设备202获取到接入企业无线局域网的密钥。
接下来,参考图3A至3C描述认证器203所执行的根据本公开实施例的无线局域网认证方法300。
图3A是根据本公开实施例的无线局域网认证方法300的流程图。图3B是根据本公开实施例的数据加密流程的示意图。图3C是根据本公开实施例的数据加密流程的另一示意图。
如图3A所示,方法300包括以下步骤。
在步骤S301中,认证器203从无线局域网服务器204接收接入密钥,其中所述接入密钥是所述无线局域网服务器204为所述无线局域网的每个用户分配的用户特定密钥。
可选地,接入密钥可以是个人预共享密钥(Personal PreShared Key,PPSK)。在接收到PPSK后,认证器203可以在本地使用SHA1函数(一种加密函数)按照以下公式预先为每个用户生成其特定的成对主密钥(PMK)。
PMK=SHA1(PPSK,SSID,SSID_length)。
其中,SSID(Service Set Identifier,服务集标识)是终端和路由器进行空口传输时使用的服务集标识,SSID_length为SSID的长度。此时,只有在认证过程中,用户输入密钥和PPSK完全相同时,待认证终端201才能接入企业无线局域网。
当然,无线局域网服务器204也可以在其本地预先使用上述公式为每个用户生成其特定的PMK。然后将PMK作为接入密钥直接发送给认证器203。
可选地,在接收无线局域网服务器204发送的接入密钥后,认证器203可以对所述接入密钥进行加密,以避免任何非授权用户通过非法手段获取接入密钥,从而加强了认证器203的安全性。
接着,在步骤S302中,认证器203从待认证终端201接收用于连接无线网络的认证请求,所述认证请求包括待认证信息,其中所述待认证信息是基于所述待认证终端301基于用户输入密钥而生成的。
可选地,所述待认证信息包括待认证终端201生成的终端随机值SNonce以及与用户输入密钥相关的验证信息。其中,所述验证信息是基于以下各项生成的:网络侧设备202向待认证终端201发送的接入点随机值ANonce、待认证终端生成的终端随机值SNonce、待认证的用户输入密钥、网络侧设备标识(例如,网络侧设备的SSID、BSSID、ESSID、MAC地址等等)、待认证终端的标识(例如,待认证终端201的MAC地址等)。
可选地,所述验证信息是第一消息完整性校验码(第一MIC),所述第一消息完整性校验码的生成包括:基于网络侧设备202向待认证终端201发送的接入点随机值ANonce、待认证终端生成的终端随机值SNonce、待认证的用户输入密钥、(例如,网络侧设备的SSID、BSSID、ESSID、MAC地址等等)、待认证终端的标识(例如,待认证终端201的MAC地址等)中的一项或多项,生成待认证成对临时密钥PTK。所述消息完整性校验码是所述待认证成对临时密钥的至少一部分,例如待认证成对临时密钥PTK的前16个字节。
参考图3B,其示出了待认证终端201生成第一消息完整性校验码的一个示例过程。本领域技术人员应当理解,待认证终端还可以使用其他方式生成认证信息(例如,MIC)。
待认证终端201将用户输入密钥与ESSID作为SHA-1加密函数的输入,生成待认证的PMK。
接着,如在图1D中的步骤S101和102中描述的那样,待认证终端201利用从网络侧设备202接收到的接入点随机值ANonce、其自身生成的终端随机值SNonce、BSSID、以及网络侧设备202的MAC值生成待认证成对临时密钥PTK。PTK的前16个字节可以作为第一消息完整性校验码(第一MIC)。可选地,待认证终端201还可以利用PTK对报文进行加密(例如使用AES(高级加密标准)或TKIP(临时密钥完整性协议)),以生成密文。报文中可以包括除了第一消息完整性校验码和终端随机值以外的其他数据。然后在后续步骤中待认证终端201将密文发送给网络侧设备202。
在步骤S303中,基于所述接入密钥,认证器203对所述待认证信息进行认证。
可选地,认证器203可以执行以下步骤来对所述待认证信息进行认证。
认证器203从所述待认证信息中获取终端随机值SNonce和第一消息完整性校验码MIC。接着,认证器203可以从网络侧设备202获取接入点随机值ANonce。
接着,认证器203可以基于所述接入密钥(PMK或PPSK)、终端随机值SNonce、接入点随机值ANonce、网络侧设备标识、待认证终端的标识,生成网络侧的成对临时密钥PTK2
参考图3C,其示出了认证器203生成网络侧的成对临时密钥的一个示例过程。本领域技术人员应当理解,认证器203还可以使用其他方式生成网络侧的成对临时密钥。
在接入密钥是PPSK的情况下,认证器203将PPSK与ESSID作为SHA1加密函数的输入,生成PMK。
在接入密钥是PMK的情况下,认证器203将直接使用接收到的PMK执行后续的处理。
接着,认证器203利用从网络侧设备202接收到的接入点随机值ANonce、从待认证终端201接收的终端随机值SNonce、BSSID、以及网络侧设备202的MAC值生成网络侧的成对临时密钥PTK2
认证器203基于所述网络侧的成对临时密钥PTK2,对所述验证信息进行认证。例如,PTK2的前16个字节可以作为第二消息完整性校验码(第二MIC)。当第二MIC与第一MIC相同时,认证器203则确定待认证终端发送的待认证信息通过。当第二MIC与第一MIC不同时,认证器203则确定待认证终端发送的待认证信息不通过。
在步骤S304中,在所述待认证信息认证通过的情况下,认证器203输出认证成功消息;在所述待认证信息认证不通过的情况下,认证器203向所述待认证终端201发送认证失败消息。
当认证器203与无线接入控制器2022/无线接入点2021分离设置时,认证器203可以通过诸如总线传输的有线方式传输向接入控制器2022/无线接入点2021传输认证成功消息;认证器203可以通过诸如蓝牙、红外等传输的无线方式传输向接入控制器2022/无线接入点2021传输认证成功消息。
当认证器203作为无线接入控制器2022/无线接入点2021的某个软件模块时,认证器203可以通过各种接口(API)向接入控制器2022/无线接入点2021中的其它软件模块传输认证成功消息。
可选地,在所述待认证信息认证不通过的情况下,认证器203还可以向网络侧设备202提供认证失败消息。
可选地,认证器203还可以利用PTK2对报文进行加密(例如使用AES(高级加密标准)或TKIP(临时密钥完整性协议)),以生成密文。报文中可以包括除了认证成功消息或认证失败消息以外的其他数据(例如IP报头等)。然后在后续步骤中网络侧设备202从待认证终端201中获取密文,并发送给待认证终端201。
在本公开中,方法300将Wi-Fi认证的密钥加密的存储在认证器203中,非授权用户无法从网络侧设备202中获取到Wi-Fi认证密钥,进而无法非法地接入企业无线局域网。同时,在本公开中,使用认证器203来对待认证终端201进行认证,实现了企业可自主设计/更新密钥规则以及密钥、密钥对WLAN设备厂商以及网络侧设备均不可见的效果。通过采用本公开的技术方案,非授权用户无法通过网络侧设备获取到接入企业无线局域网的密钥。
下面,将参照图4来描述根据本公开实施例的无线局域网连接方法400,该方法可由网络侧设备202执行。
图4是根据本公开实施例的无线局域网连接方法400的流程图。
如图4所示,方法400包括以下步骤。
在步骤S401中,网络侧设备202向待认证终端201发送接入点随机值和网络侧设备标识。
例如,网络侧设备202可以向待认证终端201单播接入点随机值ANonce。网络侧设备标识可以在认证过程(例如EAPOL四次握手)之前的扫描过程中向待认证终端201广播。或者,网络侧设备标识可以在扫描过程中作为Probe Response发送给待认证终端201。
在步骤S402中,在从认证器203获取到认证成功消息的情况下,网络侧设备202从认证器203获取网络侧的成对临时密钥PTK2
可选地,网络侧设备202还可以生成生成组临时密钥。例如,组临时密钥GTK可以通过GMK(Group Master Key)、接入点随机值和网络侧设备标识来生成。
可选地,GMK还可以直接从认证器203中获取。认证器203可以直接从无线局域网服务器接收GMK。当然,本领域技术人员应当理解,GMK也可以直接显式地预存在网络侧设备202中。或者GMK可以加密地存在预存在网络侧设备202中。
在步骤S403中,基于网络侧的成对临时密钥PTK2,网络侧设备202生成第二消息完整性校验码(第二MIC)。例如,第二消息完整性校验码(第二MIC)可以是网络侧的成对临时密钥PTK2的前16个字节。
在步骤S404中,网络侧设备202向待认证终端201发送第二消息完整性校验码(第二MIC)。
可选地,网络侧设备202还可以向待认证终端201单播第二消息完整性校验码(第二MIC)。可选地,网络侧设备202还可以向待认证终端201单播加密后的组临时密钥GTK。组临时密钥GTK可以使用成对临时密钥PTK2来进行加密。
可选地,在接收待认证终端201单播的密钥确认的情况下,网络侧设备202从待认证终端201接收或向待认证终端201发送利用所述网络侧的成对临时密钥PTK2加密的单播数据流。可选地,网络侧设备202还可以从待认证终端201接收或向待认证终端201利用所述组临时密钥加密的广播数据流。
在本公开中,方法400将Wi-Fi认证的密钥加密的存储在认证器203中,非授权用户无法从网络侧设备202中获取到Wi-Fi认证密钥,进而无法非法地接入企业无线局域网。同时,在方法400中,密钥对网络侧设备202不可见。由此,非授权用户无法通过网络侧设备获取到接入企业无线局域网的密钥。
下面,将参照图5来描述根据本公开实施例的无线局域网连接方法500,该方法可由待认证终端201执行。
图5是根据本公开实施例的无线局域网连接方法500的流程图。
如图5所示,方法500包括以下步骤。
在步骤S501中,待认证设备201从网络侧设备202接收接入点随机值和网络侧设备标识。例如,网络侧设备202可以向待认证终端201单播接入点随机值ANonce。网络侧设备标识可以在认证过程(例如EAPOL四次握手)之前的扫描过程中向待认证终端201广播。或者,网络侧设备标识可以在扫描过程中作为Probe Response发送给待认证终端201。
在步骤S502中,待认证设备201获取用户输入密钥。如果待认证设备201是第一次接入该企业无线局域网,待认证设备201可以提供用户界面,以便用户输入该用户输入密钥。如果待认证设备201不是第一次接入该企业无线局域网,待认证设备201直接从其存储器中获取预存的用户输入密钥。
在步骤S503中,基于所述用户输入密钥、终端随机值、接入点随机值和网络侧设备标识,生成待认证成对临时密钥。
待认证设备201可以通过图3B中所述的方式来生成待认证成对临时密钥。
例如,待认证终端201可以将用户输入密钥与网络侧设备标识(例如,ESSID)作为SHA-1加密函数的输入,生成待认证的PMK。
接着,如在图1D中的步骤S101和102中描述的那样,待认证终端201利用从网络侧设备202接收到的接入点随机值ANonce、终端随机值SNonce、BSSID、以及网络侧设备202的MAC值生成待认证成对临时密钥PTK。接着利用PTK对报文进行加密(例如使用AES(高级加密标准)或TKIP(临时密钥完整性协议)),以生成密文。
在步骤S504中,基于所述待认证成对临时密钥,生成待认证信息,其中,所述待认证信息包括终端随机值和第一消息完整性校验码,第一消息完整性校验码是待认证成对临时密钥的至少一部分。
例如,PTK的前16个字节可以作为第一消息完整性校验码。
在步骤S505中,待认证终端201向认证器203发送所述待认证信息。
在步骤S506中,待认证终端201从网络侧设备202接收第二消息完整性校验码(第二MIC)。接收到该第二消息完整性校验码(第二MIC)即可证明待认证信息通过了认证器203的验证。可选地,待认证终端201还可以从网络侧设备202接收使用网络侧的成对临时密钥PTK2加密后的组临时密钥GTK。
在步骤S507中,基于所述第一消息完整性校验码MIC和第二消息完整性校验码,待认证终端201确定所述待认证成对临时密钥是否有效。例如,当第一消息完整性校验码MIC和第二消息完整性校验码相同时,待认证终端201确定所述待认证成对临时密钥有效。当第一消息完整性校验码MIC和第二消息完整性校验码不同时,待认证终端201确定所述待认证成对临时密钥无效。
在步骤S508中,在确定所述待认证成对临时密钥有效的情况下,待认证终端201接收或发送利用所述待认证成对临时密钥加密的单播数据流。
可选地,待认证终端201在确定所述成对临时密钥有效的情况下(例如,当第一消息完整性校验码MIC和第二消息完整性校验码相同时),接收或发送利用所述组临时密钥加密的广播数据流。
在本公开中,方法500将Wi-Fi认证的密钥加密的存储在认证器203中,非授权用户无法从网络侧设备202中获取到Wi-Fi认证密钥,进而无法非法地接入企业无线局域网。同时,在方法400中,密钥对网络侧设备202不可见。由此,非授权用户无法通过网络侧设备获取到接入企业无线局域网的密钥。
此外,根据本公开实施例的设备(例如,终端、网络节点等)也可以借助于图6所示的电子设备的架构来实现。图6示出了该计算设备的架构。如图6所示,计算设备600可以包括总线610、一个或多个CPU 620、只读存储器(ROM)630、随机存取存储器(RAM)640、连接到网络的通信端口650、输入/输出组件660、硬盘670等。计算设备600中的存储设备,例如ROM630或硬盘670可以存储计算机处理和/或通信使用的各种数据或文件以及CPU所执行的程序指令。当然,图6所示的架构只是示例性的,在实现不同的设备时,根据实际需要,可以省略图6示出的计算设备中的一个或多个组件。
本公开的实施例也可以被实现为计算机可读存储介质。根据本公开实施例的计算机可读存储介质上存储有计算机可读指令。当所述计算机可读指令由处理器运行时,可以执行参照以上附图描述的根据本公开实施例的无线局域网认证方法与无线局域网连接方法。
所述计算机可读存储介质包括但不限于例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。
参见图7,根据本公开的一个方面,提供了一种认证器203。该认证器203可以包括:第一收发器701,被配置为从无线局域网服务器接收接入密钥,其中所述接入密钥是所述无线局域网服务器为所述无线局域网的每个用户分配的用户特定密钥;存储器702,被配置为存储加密后的接入密钥;第二收发器703,被配置为从待认证终端接收用于连接无线网络的认证请求,所述认证请求包括待认证信息,其中所述待认证信息是基于所述待认证终端基于用户输入密钥而生成的;密钥认证器704,被配置为基于所述接入密钥,对所述待认证信息进行认证;认证消息传递接口705,被配置为在所述待认证信息认证通过的情况下,向网络侧设备提供认证成功消息;第三收发器706,被配置为在所述待认证信息认证不通过的情况下,向所述待认证终端发送认证失败消息。
参见图8,根据本公开的一个方面,提供了一种网络侧设备202。该网络侧设备可以包括:第一收发器801,被配置为向待认证终端发送接入点随机值和网络侧设备标识;成对临时密钥获取器802,被配置为:在从认证器获取到认证成功消息的情况下,从认证器获取成对临时密钥;基于所述网络侧的成对临时密钥,生成第二消息完整性校验码;第二收发器803,被配置为向待认证终端发送加密后的第二消息完整性校验码。
参见图9,根据本公开的一个方面,提供了一种待认证终端201。该待认证终端可以包括:第一收发器901,被配置为从网络侧设备接收接入点随机值和网络侧设备标识;密钥获取器902,被配置为获取用户输入密钥;成对临时密钥生成器903,被配置为基于所述用户输入密钥、终端随机值、接入点随机值和网络侧设备标识,生成待认证成对临时密钥。待认证信息生成器904,被配置为基于所述待认证成对临时密钥,生成待认证信息,其中,所述待认证信息包括终端随机值和第一消息完整性校验码,第一消息完整性校验码是待认证成对临时密钥的至少一部分。第二收发器905,被配置为向认证器发送所述待认证信息;第三收发器906,被配置为从网络侧设备接收第二消息完整性校验码;验证器907,被配置为基于所述第一消息完整性校验码和第二消息完整性校验码,确定所述待认证成对临时密钥是否有效。第四收发器908,被配置为在确定所述待认证成对临时密钥有效的情况下,接收或发送利用所述待认证成对临时密钥加密的单播数据流。
本领域技术人员能够理解,本公开所披露的内容可以出现多种变型和改进。例如,以上所描述的各种设备或组件可以通过硬件实现,也可以通过软件、固件、或者三者中的一些或全部的组合实现。
此外,如本公开和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。同样,“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。
此外,本公开中使用了流程图用来说明根据本公开的实施例的系统所执行的操作。应当理解的是,前面或下面操作不一定按照顺序来精确地执行。相反,可以按照倒序或同时处理各种步骤。同时,也可以将其他操作添加到这些过程中,或从这些过程移除某一步或数步操作。
除非另有定义,这里使用的所有术语(包括技术和科学术语)具有与本发明所属领域的普通技术人员共同理解的相同含义。还应当理解,诸如在通常字典里定义的那些术语应当被解释为具有与它们在相关技术的上下文中的含义相一致的含义,而不应用理想化或极度形式化的意义来解释,除非这里明确地这样定义。
以上对本公开进行了详细说明,但对于本领域技术人员而言,显然,本公开并非限定于本说明书中说明的实施方式。本公开在不脱离由权利要求书的记载所确定的本公开的宗旨和范围的前提下,可以作为修改和变更方式来实施。因此,本说明书的记载是以示例说明为目的,对本公开而言并非具有任何限制性的意义。

Claims (15)

1.一种无线局域网认证方法,包括:
从无线局域网服务器接收接入密钥,其中所述接入密钥是所述无线局域网服务器为所述无线局域网的每个用户分配的用户特定密钥;
从待认证终端接收用于连接无线网络的认证请求,所述认证请求包括待认证信息,其中所述待认证信息是所述待认证终端基于用户输入密钥而生成的;
基于所述接入密钥,对所述待认证信息进行认证;
在所述待认证信息认证通过的情况下,输出认证成功消息;
在所述待认证信息认证不通过的情况下,向所述待认证终端发送认证失败消息。
2.如权利要求1所述的方法,其中,所述待认证信息包括待认证终端生成的终端随机值以及与所述用户输入密钥相关的验证信息,其中,所述验证信息是基于以下各项中的一项或多项生成的:网络侧设备向所述待认证终端发送的接入点随机值、待认证终端生成的终端随机值、待认证的用户输入密钥、网络侧设备标识、待认证终端的标识。
3.如权利要求2所述的方法,其中,所述验证信息是从所述待认证终端生成的待认证成对临时密钥获取的第一消息完整性校验码,
其中,所述待认证成对临时密钥是基于网络侧设备向所述待认证终端发送的接入点随机值、待认证终端生成的终端随机值、待认证的用户输入密钥、接入点标识、待认证终端的标识中的一项或多项而生成的,
所述第一消息完整性校验码是所述待认证成对临时密钥的至少一部分。
4.如权利要求3所述的方法,其中,所述基于所述接入密钥,对所述待认证信息进行认证,还包括:
从所述待认证信息中获取终端随机值和所述第一消息完整性校验码;
从网络侧设备获取接入点随机值;
基于所述接入密钥、终端随机值、接入点随机值、网络侧设备标识、待认证终端的标识,生成网络侧的成对临时密钥;
基于所述网络侧的成对临时密钥,对所述第一消息完整性校验码进行认证。
5.如权利要求1所述的方法,还包括:在接收无线局域网服务器发送的接入密钥后,对所述接入密钥进行加密。
6.一种无线局域网连接方法,包括:
向待认证终端发送接入点随机值和网络侧设备标识;
在从认证器获取到认证成功消息的情况下,从认证器获取网络侧的成对临时密钥;
基于所述网络侧的成对临时密钥,生成第二消息完整性校验码;以及
向待认证终端发送第二消息完整性校验码。
7.如权利要求6所述的方法,还包括:
接收所述待认证终端对所述第二消息完整性校验码的密钥确认信息;
响应于所述密钥确认信息,向所述待认证终端发送利用所述网络侧的成对临时密钥加密的单播数据流。
8.如权利要求7所述的方法,还包括:
基于所述接入点随机值,生成组临时密钥;
对所述组临时密钥进行加密,得到加密后的组临时密钥;
向待认证终端发送加密后的组临时密钥;
从所述待认证终端接收所述密钥确认信息;
响应于所述密钥确认信息,发送利用所述组临时密钥加密的广播数据流。
9.一种无线局域网连接方法,包括:
从网络侧设备接收接入点随机值和网络侧设备标识;
获取用户输入密钥;
基于所述用户输入密钥、终端随机值、接入点随机值和网络侧设备标识,生成待认证成对临时密钥;
基于所述待认证成对临时密钥,生成待认证信息,其中,所述待认证信息包括终端随机值和第一消息完整性校验码,第一消息完整性校验码是待认证成对临时密钥的至少一部分;
向认证器发送所述待认证信息;
从网络侧设备接收第二消息完整性校验码;
基于所述第一消息完整性校验码和第二消息完整性校验码,确定所述待认证成对临时密钥是否有效;
在确定所述待认证成对临时密钥有效的情况下,接收或发送利用所述待认证成对临时密钥加密的单播数据流。
10.如权利要求9所述的方法,还包括:
从网络侧设备接收加密后的组临时密钥;
在确定所述待认证成对临时密钥有效的情况下,接收或发送利用所述组临时密钥加密的广播数据流。
11.一种无线局域网认证方法,包括:
由网络侧设备向待认证终端发送接入点随机值和网络侧设备标识;
由待认证终端获取用户输入密钥并生成终端随机值;
由待认证终端基于所述用户输入密钥、终端随机值、接入点随机值和网络侧设备标识,生成待认证成对临时密钥;
由待认证终端基于所述待认证成对临时密钥,生成并向认证器发送待认证信息,其中,所述待认证信息包括终端随机值和第一消息完整性校验码,第一消息完整性校验码是待认证成对临时密钥的至少一部分;
由认证器从无线局域网服务器接收接入密钥,其中所述接入密钥是所述无线局域网服务器为所述无线局域网的每个用户分配的用户特定密钥;
由认证器从所述待认证终端接收所述待认证信息;
由认证器基于所述接入密钥,对所述待认证信息进行认证;
在所述待认证信息认证通过的情况下,由认证器向所述网络侧设备输出认证成功消息;
在所述待认证信息认证不通过的情况下,由认证器向所述待认证终端发送认证失败消息。
12.如权利要求11所述的方法,其中,所述由认证器基于所述接入密钥对所述待认证信息进行认证还包括:
从所述待认证信息中获取终端随机值和所述第一消息完整性校验码;
从网络侧设备获取接入点随机值;
基于所述接入密钥、终端随机值、接入点随机值、网络侧设备标识、待认证终端的标识,生成网络侧的成对临时密钥;
基于所述网络侧的成对临时密钥,对所述第一消息完整性校验码进行认证。
13.如权利要求12所述的方法,还包括:
在所述网络侧设备从认证器获取到认证成功消息的情况下,由所述网络侧设备从认证器获取网络侧的成对临时密钥;
由所述网络侧设备基于所述网络侧的成对临时密钥,生成第二消息完整性校验码;
由所述网络侧设备基于所述接入点随机值,生成组临时密钥;
由所述网络侧设备对所述组临时密钥进行加密,得到加密后的组临时密钥;
由所述网络侧设备向所述待认证终端发送所述第二消息完整性校验码和所述加密后的组临时密钥;
由所述待认证终端基于所述第一消息完整性校验码和所述第二消息完整性校验码,确定所述待认证成对临时密钥是否有效。
14.如权利要求13所述的方法,还包括:
在所述待认证终端确定所述待认证成对临时密钥有效的情况下,由所述待认证终端向所述网络侧设备发送密钥确认信息;
由所述待认证终端向所述网络侧设备发送或从所述网络侧设备接收利用所述组临时密钥加密的广播数据流;以及/或者由所述待认证终端向所述网络侧设备发送或从所述网络侧设备接收利用所述待认证成对临时密钥加密的单播数据流。
15.一种电子设备,包括:
处理器;以及
存储器,其中,所述存储器中存储有计算机可执行程序,当由所述处理器执行所述计算机可执行程序时,执行权利要求1-14中任一项所述的方法。
CN202010806747.1A 2020-08-12 2020-08-12 无线局域网认证方法与无线局域网连接方法 Pending CN111866881A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010806747.1A CN111866881A (zh) 2020-08-12 2020-08-12 无线局域网认证方法与无线局域网连接方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010806747.1A CN111866881A (zh) 2020-08-12 2020-08-12 无线局域网认证方法与无线局域网连接方法

Publications (1)

Publication Number Publication Date
CN111866881A true CN111866881A (zh) 2020-10-30

Family

ID=72972862

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010806747.1A Pending CN111866881A (zh) 2020-08-12 2020-08-12 无线局域网认证方法与无线局域网连接方法

Country Status (1)

Country Link
CN (1) CN111866881A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112672351A (zh) * 2020-12-15 2021-04-16 腾讯科技(深圳)有限公司 无线局域网认证方法及装置、电子设备、存储介质
CN113163404A (zh) * 2021-04-28 2021-07-23 天生桥一级水电开发有限责任公司水力发电厂 网络接入认证方法及相关设备
WO2022111187A1 (zh) * 2020-11-30 2022-06-02 腾讯科技(深圳)有限公司 终端认证方法、装置、计算机设备及存储介质
CN115988492A (zh) * 2022-12-12 2023-04-18 国网吉林省电力有限公司 物联网设备可信入网方法、装置、服务器及存储介质
CN116132163A (zh) * 2023-02-10 2023-05-16 南京百敖软件有限公司 使用dhcp协议实现设备限定局域网络围栏的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103391540A (zh) * 2012-05-08 2013-11-13 华为终端有限公司 密钥信息生成方法及系统、终端设备、接入网设备
CN105491093A (zh) * 2014-09-19 2016-04-13 中国移动通信集团公司 终端认证、网络访问的方法、服务器、无线接入点及终端
CN106941405A (zh) * 2017-04-28 2017-07-11 北京星网锐捷网络技术有限公司 一种在无线局域网中终端认证的方法和装置
CN108023731A (zh) * 2016-11-04 2018-05-11 汤姆逊许可公司 用于客户端设备认证的设备和方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103391540A (zh) * 2012-05-08 2013-11-13 华为终端有限公司 密钥信息生成方法及系统、终端设备、接入网设备
CN105491093A (zh) * 2014-09-19 2016-04-13 中国移动通信集团公司 终端认证、网络访问的方法、服务器、无线接入点及终端
CN108023731A (zh) * 2016-11-04 2018-05-11 汤姆逊许可公司 用于客户端设备认证的设备和方法
CN106941405A (zh) * 2017-04-28 2017-07-11 北京星网锐捷网络技术有限公司 一种在无线局域网中终端认证的方法和装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022111187A1 (zh) * 2020-11-30 2022-06-02 腾讯科技(深圳)有限公司 终端认证方法、装置、计算机设备及存储介质
CN112672351A (zh) * 2020-12-15 2021-04-16 腾讯科技(深圳)有限公司 无线局域网认证方法及装置、电子设备、存储介质
CN113163404A (zh) * 2021-04-28 2021-07-23 天生桥一级水电开发有限责任公司水力发电厂 网络接入认证方法及相关设备
CN113163404B (zh) * 2021-04-28 2023-04-28 天生桥一级水电开发有限责任公司水力发电厂 网络接入认证方法及相关设备
CN115988492A (zh) * 2022-12-12 2023-04-18 国网吉林省电力有限公司 物联网设备可信入网方法、装置、服务器及存储介质
CN116132163A (zh) * 2023-02-10 2023-05-16 南京百敖软件有限公司 使用dhcp协议实现设备限定局域网络围栏的方法

Similar Documents

Publication Publication Date Title
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
US8001381B2 (en) Method and system for mutual authentication of nodes in a wireless communication network
US8327143B2 (en) Techniques to provide access point authentication for wireless network
KR101062781B1 (ko) 통신 시스템에서의 키 생성
US7793103B2 (en) Ad-hoc network key management
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US7370350B1 (en) Method and apparatus for re-authenticating computing devices
CN111866881A (zh) 无线局域网认证方法与无线局域网连接方法
EP3334084B1 (en) Security authentication method, configuration method and related device
US20110078443A1 (en) Method and system for secure communications on a managed network
EP3051744A1 (en) Key configuration method and apparatus
WO2022111187A1 (zh) 终端认证方法、装置、计算机设备及存储介质
US20090063851A1 (en) Establishing communications
Dantu et al. EAP methods for wireless networks
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
CN113556227B (zh) 网络连接管理方法、装置、计算机可读介质及电子设备
CN104982053B (zh) 用于获得认证无线设备的永久身份的方法和网络节点
Noh et al. Secure authentication and four-way handshake scheme for protected individual communication in public wi-fi networks
JP4550759B2 (ja) 通信システム及び通信装置
CN109561431B (zh) 基于多口令身份鉴别的wlan接入访问控制系统及方法
Prakash et al. Authentication protocols and techniques: a survey
JP4677784B2 (ja) 集合型宅内ネットワークにおける認証方法及びシステム
CN113543131A (zh) 网络连接管理方法、装置、计算机可读介质及电子设备
Gupta et al. Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review
Zhao et al. Addressing the vulnerability of the 4-way handshake of 802.11 i

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40030098

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination