CN114513785A - 一种终端认证方法及装置 - Google Patents
一种终端认证方法及装置 Download PDFInfo
- Publication number
- CN114513785A CN114513785A CN202210163979.9A CN202210163979A CN114513785A CN 114513785 A CN114513785 A CN 114513785A CN 202210163979 A CN202210163979 A CN 202210163979A CN 114513785 A CN114513785 A CN 114513785A
- Authority
- CN
- China
- Prior art keywords
- terminal
- user
- authenticated
- user password
- control authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及无线通信技术领域,特别涉及一种终端认证方法及装置。该方法应用于接入点AP,AP与客户端完成SSL协商之后,接收待认证终端发送的认证请求,并从认证请求中获取待认证终端的终端用户信息;将终端用户信息发送至云端,以使得云端基于终端用户信息获取终端用户对应的用户密码和控制权限,并将获取到的终端用户对应的用户密码和控制权限发送给待认证终端;从云端获取终端用户对应的用户密码和控制权限,并判断终端用户对应的用户密码是否通过认证;若判定终端用户对应的用户密码通过认证,则与待认证终端进行四次握手协商,若握手协商成功,则确定待认证终端认证成功,并基于控制权限对待认证终端进行权限控制。
Description
技术领域
本申请涉及无线通信技术领域,特别涉及一种终端认证方法及装置。
背景技术
远程办公和公有云的应用场景越来越多,云管理网络出现了快速增长,云原生应用越来越多。再此环境下,云服务提供的功能也显得尤其重要。对于企业园区来说,终端的准入是必不可少的,客户为了减少投资,可以直接采用公有云提供的认证服务,对于企业办公环境来说,对于用户的报文加密和准入认证是不可少,当前认证方式主要采用8021X认证方式,因此8021X认证已经成为客户必不可少的一种认证方式。
然而,在公有云中采用8021X认证方式,认证交互报文(无线认证)多,认证报文透传至公有云,过程繁琐,对公有云的资源消耗大、延迟、带宽要求较高。可能导致用户认证时间延长,用户认证体验变差。
发明内容
本申请提供了一种终端认证方法及装置,用以解决现有技术中存在的认证过程繁琐,对公有云的资源消耗大的问题。
第一方面,本申请提供了一种终端认证方法,应用于接入点AP,所述 AP与客户端完成SSL协商之后,所述方法包括:
接收待认证终端发送的认证请求,并从所述认证请求中获取所述待认证终端的终端用户信息;
将所述终端用户信息发送至云端,以使得所述云端基于所述终端用户信息获取所述终端用户对应的用户密码和控制权限,并将获取到的所述终端用户对应的用户密码和控制权限发送给所述待认证终端;
从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证;
若判定所述终端用户对应的用户密码通过认证,则与所述待认证终端进行四次握手协商,若握手协商成功,则确定所述待认证终端认证成功,并基于所述控制权限对所述待认证终端进行权限控制。
可选地,所述AP与客户端完成SSL协商之后,生成用于四次握手的协商秘钥;
与所述待认证终端进行四次握手协商的步骤包括:
基于所述秘钥与所述待认证终端进行四次握手协商。
可选地,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证的步骤包括:
接收所述云端发送的所述终端用户对应的用户密码;
判断所述用户密码是否准确;
若判定所述用户密码准确,则向所述云端发送所述用户密码准确的响应,以使得所述云端下发所述终端用户对应的控制权限;
接收所述云端发送的所述终端用户对应的控制权限;
若判定所述用户密码不准确,则向所述云端发送所述用户密码不准确的响应,以使得所述云端不再下发所述终端用户对应的控制权限。
可选地,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证的步骤包括:
接收所述云端发送的所述终端用户对应的用户密码和控制权限;
判断所述用户密码是否准确;
若判定所述用户密码准确,则保存所述终端用户对应的控制权限;
若判定所述用户密码不准确,则删除所述终端用户对应的控制权限。
可选地,在确定所述待认证终端认证成功之后,所述方法还包括:
向所述云端发送所述终端用户上线成功的消息,以使得所述云端记录所述终端用户的状态为上线状态;
在监测到所述终端用户下线时,向所述云端发送所述终端用户下线成功的消息,以使得所述云端记录所述终端用户的状态为下线状态。
第二方面,本申请提供了一种终端认证装置,应用于接入点AP,所述AP 与客户端完成SSL协商之后,所述装置包括:
接收单元,用于接收待认证终端发送的认证请求,并从所述认证请求中获取所述待认证终端的终端用户信息;
发送单元,用于将所述终端用户信息发送至云端,以使得所述云端基于所述终端用户信息获取所述终端用户对应的用户密码和控制权限,并将获取到的所述终端用户对应的用户密码和控制权限发送给所述待认证终端;
获取单元,用于从所述云端获取所述终端用户对应的用户密码和控制权限;
判断单元,用于判断所述终端用户对应的用户密码是否通过认证;
执行单元,若所述判断单元判定所述终端用户对应的用户密码通过认证,则所述执行单元用于,与所述待认证终端进行四次握手协商,若握手协商成功,则确定所述待认证终端认证成功,并基于所述控制权限对所述待认证终端进行权限控制。
可选地,所述AP与客户端完成SSL协商之后,生成用于四次握手的协商秘钥;
与所述待认证终端进行四次握手协商时,所述执行单元具体用于:
基于所述秘钥与所述待认证终端进行四次握手协商。
可选地,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证的时,
所述获取单元用于,接收所述云端发送的所述终端用户对应的用户密码;
所述判断单元用于,判断所述用户密码是否准确;
若所述判断单元判定所述用户密码准确,则向所述云端发送所述用户密码准确的响应,以使得所述云端下发所述终端用户对应的控制权限;
所述获取单元用于,接收所述云端发送的所述终端用户对应的控制权限;
若所述判断单元判定所述用户密码不准确,则向所述云端发送所述用户密码不准确的响应,以使得所述云端不再下发所述终端用户对应的控制权限。
可选地,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证时,
所述获取单元用于,接收所述云端发送的所述终端用户对应的用户密码和控制权限;
所述判断单元用于,判断所述用户密码是否准确;
若所述判断单元判定所述用户密码准确,则所述获取单元保存所述终端用户对应的控制权限;
若所述判断单元判定所述用户密码不准确,则所述获取单元删除所述终端用户对应的控制权限。
可选地,在确定所述待认证终端认证成功之后,所述装置还包括:
通知单元,用于向所述云端发送所述终端用户上线成功的消息,以使得所述云端记录所述终端用户的状态为上线状态;
监测单元,用于在监测到所述终端用户下线时,所述通知单元向所述云端发送所述终端用户下线成功的消息,以使得所述云端记录所述终端用户的状态为下线状态。
第三方面,本申请实施例提供一种终端认证装置,该终端认证装置包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。
综上可知,本申请实施例提供的终端认证方法,应用于接入点AP,所述 AP与客户端完成SSL协商之后,所述方法包括:接收待认证终端发送的认证请求,并从所述认证请求中获取所述待认证终端的终端用户信息;将所述终端用户信息发送至云端,以使得所述云端基于所述终端用户信息获取所述终端用户对应的用户密码和控制权限,并将获取到的所述终端用户对应的用户密码和控制权限发送给所述待认证终端;从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证;若判定所述终端用户对应的用户密码通过认证,则与所述待认证终端进行四次握手协商,若握手协商成功,则确定所述待认证终端认证成功,并基于所述控制权限对所述待认证终端进行权限控制。
采用本申请实施例提供的终端认证方法,由接入点AP完成与待接入终端进行第一阶段的认证(SSL认证),接着,接入点将待认证终端的终端用户信息发送至云端,云端只需根据终端用户信息查询与其匹配的用户密码和控制权限,并将查询到的用户密码和控制权限发送给接入点,由接入点完成第二阶段的密码认证,在认证成功后,接着,由接入点和待接入设备完成后续四次握手认证,大大减少了透传至云端的认证报文,简化了认证过程,降低了云端资源的消耗,提升了认证效率,从而提升用户认证体验。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1为本申请实施例提供的一种终端认证方法的详细流程图;
图2为本申请实施例提供的一种终端认证装置的结构示意图;
图3为本申请实施例提供的另一种终端认证装置的结构示意图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
示例性的,参阅图1所示,为本申请实施例提供的一种终端认证方法的详细流程图,该方法应用于接入点AP,所述AP与客户端完成SSL协商之后,该方法包括以下步骤:
步骤100:接收待认证终端发送的认证请求,并从所述认证请求中获取所述待认证终端的终端用户信息。
本申请实施例中,接入点(Access Point,AP)直接与待接入终端进行SSL 协商,无需通过云端与待接入终端进行SSL协商过程,这样,SSL协商过程报文就无需透传至云端,以减少云端的资源消耗。
例如,Station(待认证终端)通过发送802.11Probe Reqest无线探测帧;AP 回应Station802.11 Proble Response帧,该报文中携带了该接入点的ssid,速率以及wpa相关IE能力集。Station发送802.11Auth-Request报文;AP也回应802.11 Auth-Request报文;Station发送802.11Association-Request关联请求帧;AP回应802.11Association-Response数据帧;Station发送802.11Association Ack帧,至此,待认证终端与AP完成SSL协商。
那么,本申请实施例中,AP与待认证终端完成SSL协商之后,待认证终端会向AP发送认证请求,该认证请求包括终端用户信息,如,终端的MAC,用户名,用户密码,场所ID,设备序列号,SSID字段等信息。
步骤110:将所述终端用户信息发送至云端,以使得所述云端基于所述终端用户信息获取所述终端用户对应的用户密码和控制权限,并将获取到的所述终端用户对应的用户密码和控制权限发送给所述待认证终端。
例如,Station发送EAPOL-Start报文开始认证。
本申请实施例中,用户在云端注册时,云端会维护各终端用户的用户名和用户密码,以及管理员配置的该终端用户的VLAN,控制权限。
那么,AP在接收到待认证终端发送的认证请求后,提取出认证请求中携带的终端用户信息,并通过websocket控制通道将终端用户信息发送至云端,云端在接收到AP发送的终端用户信息后,查询该用户下的相关信息(如,用户密码, Vlan,控制权限(如,ACL/Userprofile/CAR/sessiontimeout))。
步骤120:从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证。
本申请实施例中,在从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证时,一种较佳地实现方式为:
接收所述云端发送的所述终端用户对应的用户密码;判断所述用户密码是否准确;若判定所述用户密码准确,则向所述云端发送所述用户密码准确的响应,以使得所述云端下发所述终端用户对应的控制权限;接收所述云端发送的所述终端用户对应的控制权限;若判定所述用户密码不准确,则向所述云端发送所述用户密码不准确的响应,以使得所述云端不再下发所述终端用户对应的控制权限。
也就是说,在云端不做密码验证操作,云端将查询到的终端账户对应的用户密码发送至AP,AP接收到云端发送的终端用户对应的用户密码后,将该用户密码与认证请求中携带的用户密码进行比对,若密码相同,则确定用户密码准确,此时,AP告知云端用户密码准确,云端将终端用户对应的VLAN和控制权限发送至AP。若密码不同,则告知云端用户密码不准确,云端不再将终端用户对应的VLAN和控制权限发送至AP,待认证终端认证失败。
即云端在确定用户密码准确之后,才向AP发送终端用户对应的控制权限,若云端确定用户密码不准确,则不向AP发送终端用户对应的控制权限。
进一步的,本申请实施例中,在从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证时,另一种较佳地实现方式为:
接收所述云端发送的所述终端用户对应的用户密码和控制权限;判断所述用户密码是否准确;若判定所述用户密码准确,则保存所述终端用户对应的控制权限;若判定所述用户密码不准确,则删除所述终端用户对应的控制权限。
也就是说,在云端不做密码验证操作,云端将查询到的终端账户对应的用户密码和控制权限发送至AP,AP接收到云端发送的终端用户对应的用户密码和控制权限后,将该用户密码与认证请求中携带的用户密码进行比对,若密码相同,则不删除终端用户对应的控制权限,若密码不同,则删除云端下发的终端用户对应的控制权限。
步骤130:若判定所述终端用户对应的用户密码通过认证,则与所述待认证终端进行四次握手协商,若握手协商成功,则确定所述待认证终端认证成功,并基于所述控制权限对所述待认证终端进行权限控制。
本申请实施例中,所述AP与客户端完成SSL协商之后,生成用于四次握手的协商秘钥;那么,与所述待认证终端进行四次握手协商时,一种较佳地实现方式为:基于所述秘钥与所述待认证终端进行四次握手协商。
若AP确定终端用户对应的用户密码准确,则采用SSL协商成功之后生成的秘钥与待认证终端进行四次握手协商。
例如,设备根据该秘钥进行8021X的认证流程(四次握手协商)后续步骤,如果验证合法后,进行对该用户的权限授权(包含VLAN,ACL,Userprofile, CAR,Sessiontimeout字段)。
进一步的,在确定所述待认证终端认证成功之后,所述方法还包括:
向所述云端发送所述终端用户上线成功的消息,以使得所述云端记录所述终端用户的状态为上线状态。
更进一步的,在监测到所述终端用户下线时,向所述云端发送所述终端用户下线成功的消息,以使得所述云端记录所述终端用户的状态为下线状态。
示例性的,参阅图2所示,为本申请实施例提供的一种终端认证装置的结构示意图,该装置应用于接入点AP,所述AP与客户端完成SSL协商之后,该装置包括:
接收单元20,用于接收待认证终端发送的认证请求,并从所述认证请求中获取所述待认证终端的终端用户信息;
发送单元21,用于将所述终端用户信息发送至云端,以使得所述云端基于所述终端用户信息获取所述终端用户对应的用户密码和控制权限,并将获取到的所述终端用户对应的用户密码和控制权限发送给所述待认证终端;
获取单元22,用于从所述云端获取所述终端用户对应的用户密码和控制权限;
判断单元23,用于判断所述终端用户对应的用户密码是否通过认证;
执行单元24,若所述判断单元23判定所述终端用户对应的用户密码通过认证,则所述执行单元24用于,与所述待认证终端进行四次握手协商,若握手协商成功,则确定所述待认证终端认证成功,并基于所述控制权限对所述待认证终端进行权限控制。
可选地,所述AP与客户端完成SSL协商之后,生成用于四次握手的协商秘钥;
与所述待认证终端进行四次握手协商时,所述执行单元24具体用于:
基于所述秘钥与所述待认证终端进行四次握手协商。
可选地,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证的时,
所述获取单元22用于,接收所述云端发送的所述终端用户对应的用户密码;
所述判断单元23用于,判断所述用户密码是否准确;
若所述判断单元23判定所述用户密码准确,则向所述云端发送所述用户密码准确的响应,以使得所述云端下发所述终端用户对应的控制权限;
所述获取单元22用于,接收所述云端发送的所述终端用户对应的控制权限;
若所述判断单元23判定所述用户密码不准确,则向所述云端发送所述用户密码不准确的响应,以使得所述云端不再下发所述终端用户对应的控制权限。
可选地,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证时,
所述获取单元22用于,接收所述云端发送的所述终端用户对应的用户密码和控制权限;
所述判断单元23用于,判断所述用户密码是否准确;
若所述判断单元23判定所述用户密码准确,则所述获取单元22保存所述终端用户对应的控制权限;
若所述判断单元23判定所述用户密码不准确,则所述获取单元22删除所述终端用户对应的控制权限。
可选地,在确定所述待认证终端认证成功之后,所述装置还包括:
通知单元,用于向所述云端发送所述终端用户上线成功的消息,以使得所述云端记录所述终端用户的状态为上线状态;
监测单元,用于在监测到所述终端用户下线时,所述通知单元向所述云端发送所述终端用户下线成功的消息,以使得所述云端记录所述终端用户的状态为下线状态。
以上这些单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个单元通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些单元可以集成在一起,以片上系统 (system-on-a-chip,简称SOC)的形式实现。
进一步地,本申请实施例提供的终端认证装置,从硬件层面而言,所述终端认证装置的硬件架构示意图可以参见图3所示,所述终端认证装置可以包括:存储器30和处理器31,
存储器30用于存储程序指令;处理器31调用存储器30中存储的程序指令,按照获得的程序指令执行上述方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种AP,包括用于执行上述方法实施例的至少一个处理元件(或芯片)。
可选地,本申请还提供一种程序产品,例如计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令用于使该计算机执行上述方法实施例。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/ 或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种终端认证方法,其特征在于,应用于接入点AP,所述AP与客户端完成SSL协商之后,所述方法包括:
接收待认证终端发送的认证请求,并从所述认证请求中获取所述待认证终端的终端用户信息;
将所述终端用户信息发送至云端,以使得所述云端基于所述终端用户信息获取所述终端用户对应的用户密码和控制权限,并将获取到的所述终端用户对应的用户密码和控制权限发送给所述待认证终端;
从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证;
若判定所述终端用户对应的用户密码通过认证,则与所述待认证终端进行四次握手协商,若握手协商成功,则确定所述待认证终端认证成功,并基于所述控制权限对所述待认证终端进行权限控制。
2.如权利要求1所述的方法,其特征在于,所述AP与客户端完成SSL协商之后,生成用于四次握手的协商秘钥;
与所述待认证终端进行四次握手协商的步骤包括:
基于所述秘钥与所述待认证终端进行四次握手协商。
3.如权利要求1所述的方法,其特征在于,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证的步骤包括:
接收所述云端发送的所述终端用户对应的用户密码;
判断所述用户密码是否准确;
若判定所述用户密码准确,则向所述云端发送所述用户密码准确的响应,以使得所述云端下发所述终端用户对应的控制权限;
接收所述云端发送的所述终端用户对应的控制权限;
若判定所述用户密码不准确,则向所述云端发送所述用户密码不准确的响应,以使得所述云端不再下发所述终端用户对应的控制权限。
4.如权利要求1所述的方法,其特征在于,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证的步骤包括:
接收所述云端发送的所述终端用户对应的用户密码和控制权限;
判断所述用户密码是否准确;
若判定所述用户密码准确,则保存所述终端用户对应的控制权限;
若判定所述用户密码不准确,则删除所述终端用户对应的控制权限。
5.如权利要求1所述的方法,其特征在于,在确定所述待认证终端认证成功之后,所述方法还包括:
向所述云端发送所述终端用户上线成功的消息,以使得所述云端记录所述终端用户的状态为上线状态;
在监测到所述终端用户下线时,向所述云端发送所述终端用户下线成功的消息,以使得所述云端记录所述终端用户的状态为下线状态。
6.一种终端认证装置,其特征在于,应用于接入点AP,所述AP与客户端完成SSL协商之后,所述装置包括:
接收单元,用于接收待认证终端发送的认证请求,并从所述认证请求中获取所述待认证终端的终端用户信息;
发送单元,用于将所述终端用户信息发送至云端,以使得所述云端基于所述终端用户信息获取所述终端用户对应的用户密码和控制权限,并将获取到的所述终端用户对应的用户密码和控制权限发送给所述待认证终端;
获取单元,用于从所述云端获取所述终端用户对应的用户密码和控制权限;
判断单元,用于判断所述终端用户对应的用户密码是否通过认证;
执行单元,若所述判断单元判定所述终端用户对应的用户密码通过认证,则所述执行单元用于,与所述待认证终端进行四次握手协商,若握手协商成功,则确定所述待认证终端认证成功,并基于所述控制权限对所述待认证终端进行权限控制。
7.如权利要求6所述的装置,其特征在于,所述AP与客户端完成SSL协商之后,生成用于四次握手的协商秘钥;
与所述待认证终端进行四次握手协商时,所述执行单元具体用于:
基于所述秘钥与所述待认证终端进行四次握手协商。
8.如权利要求6所述的装置,其特征在于,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证的时,
所述获取单元用于,接收所述云端发送的所述终端用户对应的用户密码;
所述判断单元用于,判断所述用户密码是否准确;
若所述判断单元判定所述用户密码准确,则向所述云端发送所述用户密码准确的响应,以使得所述云端下发所述终端用户对应的控制权限;
所述获取单元用于,接收所述云端发送的所述终端用户对应的控制权限;
若所述判断单元判定所述用户密码不准确,则向所述云端发送所述用户密码不准确的响应,以使得所述云端不再下发所述终端用户对应的控制权限。
9.如权利要求6所述的装置,其特征在于,从所述云端获取所述终端用户对应的用户密码和控制权限,并判断所述终端用户对应的用户密码是否通过认证时,
所述获取单元用于,接收所述云端发送的所述终端用户对应的用户密码和控制权限;
所述判断单元用于,判断所述用户密码是否准确;
若所述判断单元判定所述用户密码准确,则所述获取单元保存所述终端用户对应的控制权限;
若所述判断单元判定所述用户密码不准确,则所述获取单元删除所述终端用户对应的控制权限。
10.如权利要求6所述的装置,其特征在于,在确定所述待认证终端认证成功之后,所述装置还包括:
通知单元,用于向所述云端发送所述终端用户上线成功的消息,以使得所述云端记录所述终端用户的状态为上线状态;
监测单元,用于在监测到所述终端用户下线时,所述通知单元向所述云端发送所述终端用户下线成功的消息,以使得所述云端记录所述终端用户的状态为下线状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210163979.9A CN114513785B (zh) | 2022-02-22 | 2022-02-22 | 一种终端认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210163979.9A CN114513785B (zh) | 2022-02-22 | 2022-02-22 | 一种终端认证方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114513785A true CN114513785A (zh) | 2022-05-17 |
CN114513785B CN114513785B (zh) | 2023-10-20 |
Family
ID=81552969
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210163979.9A Active CN114513785B (zh) | 2022-02-22 | 2022-02-22 | 一种终端认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114513785B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010016510A (ja) * | 2008-07-02 | 2010-01-21 | Panasonic Corp | 無線ノード及びメッシュネットワーク |
CN104270758A (zh) * | 2014-10-10 | 2015-01-07 | 乐鑫信息科技(上海)有限公司 | 通过wifi与服务器安全建立连接并授权的方法 |
US20160219038A1 (en) * | 2013-10-01 | 2016-07-28 | Ruckus Wireless, Inc. | Secure Network Access Using Credentials |
US20160309384A1 (en) * | 2013-12-27 | 2016-10-20 | Huawei Technologies Co., Ltd. | Offloading method, user equipment, base station, and access point |
CN106385404A (zh) * | 2016-08-31 | 2017-02-08 | 华北电力大学(保定) | 基于移动终端的电力信息系统构建方法 |
WO2017049461A1 (zh) * | 2015-09-22 | 2017-03-30 | 华为技术有限公司 | 用户设备ue的接入方法、设备及系统 |
CN106912049A (zh) * | 2017-04-05 | 2017-06-30 | 深圳市风云实业有限公司 | 改善用户认证体验的方法 |
WO2018021864A1 (ko) * | 2016-07-29 | 2018-02-01 | 주식회사 파수닷컴 | 클라우드 기반의 서비스 제공 방법 |
WO2020222537A1 (ko) * | 2019-04-30 | 2020-11-05 | 주식회사 케이티 | 1차 단말을 통하여 전용망에 접속하는 2차 단말의 전용망 접속을 제어하는 서버 및 그 1차 단말 |
CN112672351A (zh) * | 2020-12-15 | 2021-04-16 | 腾讯科技(深圳)有限公司 | 无线局域网认证方法及装置、电子设备、存储介质 |
-
2022
- 2022-02-22 CN CN202210163979.9A patent/CN114513785B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010016510A (ja) * | 2008-07-02 | 2010-01-21 | Panasonic Corp | 無線ノード及びメッシュネットワーク |
US20160219038A1 (en) * | 2013-10-01 | 2016-07-28 | Ruckus Wireless, Inc. | Secure Network Access Using Credentials |
CN105830414A (zh) * | 2013-10-01 | 2016-08-03 | 鲁库斯无线公司 | 使用凭证的安全的网络接入 |
US20160309384A1 (en) * | 2013-12-27 | 2016-10-20 | Huawei Technologies Co., Ltd. | Offloading method, user equipment, base station, and access point |
CN104270758A (zh) * | 2014-10-10 | 2015-01-07 | 乐鑫信息科技(上海)有限公司 | 通过wifi与服务器安全建立连接并授权的方法 |
WO2017049461A1 (zh) * | 2015-09-22 | 2017-03-30 | 华为技术有限公司 | 用户设备ue的接入方法、设备及系统 |
WO2018021864A1 (ko) * | 2016-07-29 | 2018-02-01 | 주식회사 파수닷컴 | 클라우드 기반의 서비스 제공 방법 |
CN106385404A (zh) * | 2016-08-31 | 2017-02-08 | 华北电力大学(保定) | 基于移动终端的电力信息系统构建方法 |
CN106912049A (zh) * | 2017-04-05 | 2017-06-30 | 深圳市风云实业有限公司 | 改善用户认证体验的方法 |
WO2020222537A1 (ko) * | 2019-04-30 | 2020-11-05 | 주식회사 케이티 | 1차 단말을 통하여 전용망에 접속하는 2차 단말의 전용망 접속을 제어하는 서버 및 그 1차 단말 |
CN112672351A (zh) * | 2020-12-15 | 2021-04-16 | 腾讯科技(深圳)有限公司 | 无线局域网认证方法及装置、电子设备、存储介质 |
Non-Patent Citations (2)
Title |
---|
张威;: "无线局域网安全传输协议标准与安全研究", 软件导刊 * |
王雅哲;张城毅;霍冬冬;李佳琳;: "IoT智能设备安全威胁及防护技术综述", 信息安全学报 * |
Also Published As
Publication number | Publication date |
---|---|
CN114513785B (zh) | 2023-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11375363B2 (en) | Secure updating of telecommunication terminal configuration | |
US11825303B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
CN108462710B (zh) | 认证授权方法、装置、认证服务器及机器可读存储介质 | |
EP2549785A1 (en) | Method and apparatus for authenticating communication devices | |
US20130178190A1 (en) | Mobile device identification for secure device access | |
CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
US9730061B2 (en) | Network authentication | |
US8931068B2 (en) | Authentication process | |
CN111132305B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
EP1530315A1 (en) | System and method for authentication of applications in a non-trusted network environment | |
WO2018010480A1 (zh) | eSIM卡锁网方法、终端及锁网认证服务器 | |
CN113556227A (zh) | 网络连接管理方法、装置、计算机可读介质及电子设备 | |
CN109729000B (zh) | 一种即时通信方法及装置 | |
US20170163627A1 (en) | Network authentication | |
CN103581154A (zh) | 物联网系统中的鉴权方法和装置 | |
CN107659931B (zh) | 一种变更绑定手机号码的方法和装置 | |
CN111148094A (zh) | 5g用户终端的注册方法、用户终端设备及介质 | |
WO2021168829A1 (zh) | 一种用户标识的验证方法及相关设备 | |
WO2016150034A1 (zh) | 一种虚拟sim卡的管理方法、装置和系统 | |
WO2018099407A1 (zh) | 账户认证登录方法及装置 | |
CN111093196B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
US11777742B2 (en) | Network device authentication | |
CN114513785B (zh) | 一种终端认证方法及装置 | |
CN112184249B (zh) | 用户签约方法、装置、设备及存储介质 | |
CN112004228B (zh) | 实人认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |