WO2017016415A1 - 一种无线局域网络的接入认证方法、服务器和认证系统 - Google Patents

Abstract

本发明公开了一种无线局域网络的接入认证方法，包括：服务器接收第一用户设备发送的接入信息，所述接入信息携带所述第一用户设备的身份信息；所述服务器根据所述接入信息向第二用户设备发送接入请求；若所述服务器接收到所述第二用户设备针对所述接入请求发送的确认指令，所述服务器生成挑战码，并根据所述挑战码生成第一接入密码；所述服务器将所述挑战码发送给所述第一用户设备，以使所述第一用户设备根据所述挑战码生成第二接入密码；所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证。相应地，本发明还公开了一种服务器和认证系统。采用本发明，可以解决字典攻击的问题。

Description

一种无线局域网络的接入认证方法、服务器和认证系统

本申请要求于2015年07月30日提交中国专利局，申请号为201510459273.7、发明名称为“一种无线局域网络的接入认证方法、服务器和认证系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及无线通信技术领域，尤其涉及一种无线局域网络的接入认证方法、服务器和认证系统。

背景技术

WIFI技术是一种可以将个人电脑、手持设备等终端以无线方式相互连接的技术。随着网络技术的迅速发展，WIFI技术已深入到生活的方方面面。另一方面，便携式通信设备的迅速增加以及普及，越来越多地用户设备会进行WIFI接入。这都对无线通信的安全性提出了更高的要求。

目前，便携式设备(包括有卡设备和无卡设备)在进行WIFI接入时，通常采用用户名和密码作为输入信息的方式来进行身份认证。这种方式虽然使用简便，却存在一定的弊端：若用户名或密码过于复杂，则很难进行记忆；若用户名或密码相对简单，则很容易受到字典攻击。

所谓字典攻击，是指入侵者先把所有用户可能选取的密码序列列举出来，并生成一个文件，这个文件即“字典”，在破解密码或密钥时，根据自定义的字典，逐一尝试字典中的单词或者短语的攻击方式。当入侵者获得一些与密码相关的验证信息后，就可以结合字典进行一系列的运算才进行猜测，并利用得到的信息来验证猜测的正确性。

发明内容

本发明提供一种无线局域网络的接入认证方法、服务器和认证系统，在WIFI接入认证过程中，可以根据第一用户设备的接入信息生成挑战码，不再使用用户设定的静态密码，从而解决字典攻击的问题。

本发明第一方面提供了一种无线局域网络的接入认证方法，包括：

服务器接收第一用户设备发送的接入信息，所述接入信息携带所述第一用户设备的身份信息；

所述服务器根据所述接入信息向第二用户设备发送接入请求；

若所述服务器接收到所述第二用户设备针对所述接入请求发送的确认指令，所述服务器根据所述第一用户设备的身份信息生成挑战码，并根据所述挑战码生成第一接入密码；

所述服务器将所述挑战码发送给所述第一用户设备，以使所述第一用户设备根据所述挑战码生成第二接入密码；

所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证。

在第一方面的第一种可能的实现方式中，所述服务器接收第一用户设备发送的接入信息之后，所述方法还包括：

所述服务器根据所述第一用户设备的身份信息检测本地是否存在所述第一用户设备对应的第一接入密码；

若是，所述服务器通过检测到的所述第一用户设备对应的所述第一接入密码与所述第一用户设备完成EAP认证；

若否，所述服务器执行所述根据所述接入信息向第二用户设备发送接入请求的步骤。

在第一方面的第二种可能的实现方式中，所述第一用户设备的身份信息包括所述第一用户设备的国际移动设备身份码IMEI；

所述服务器根据所述第一用户设备的身份信息生成挑战码包括：

所述服务器将所述第一用户设备的IMEI、当前时刻以及从某一随机数开始的自增数值组合成字符串，并将所述字符串作为所述挑战码。

在第一方面的第三种可能的实现方式中，所述服务器根据所述挑战码生成第一接入密码包括：

所述服务器通过服务器证书中的服务器公钥将所述挑战码加密成密文；

所述服务器通过单向散列函数对所述密文进行单向散列，并通过削减函数对单向散列后的所述密文进行处理获得所述第一接入密码。

在第一方面的第四种可能的实现方式中，所述服务器根据所述挑战码生成 第一接入密码之后，所述方法还包括：

所述服务器根据所述第一用户设备的身份信息保存所述第一接入密码，并启动计时器计时；

当所述计时器计时达到预设时长，所述服务器则删除所述第一接入密码。

在第一方面的第五种可能的实现方式中，所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证之后，所述方法还包括：

所述服务器向所述第二用户设备发送所述EAP认证结果。

在第一方面的第六种可能的实现方式中，所述服务器根据所述接入信息向第二用户设备发送接入请求包括：

所述服务器根据预设的身份信息与联系信息的对应关系，获取所述第一用户设备的身份信息对应的联系信息，并通过获取得到的所述联系信息向所述第二用户设备发送接入请求。

在第一方面的第七种可能的实现方式中，所述接入信息还携带联系信息，所述服务器根据所述接入信息向第二用户设备发送接入请求包括：

所述服务器通过所述接入信息携带的所述联系信息向所述第二用户设备发送接入请求。

结合第一方面或第一方面的第一种至第七种中任一种可能的实现方式，在第八种可能的实现方式中，所述服务器将所述挑战码发送给所述第一用户设备之后，所述方法还包括：

所述服务器接收所述第一用户设备发送的所述第二接入密码；

所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证包括：

所述服务器判断所述第一接入密码和所述第二接入密码是否相同；

若判断结果为是，所述服务器判定EAP认证成功；

若判断结果为否，所述服务器判定EAP认证失败。

结合第一方面或第一方面的第一种至第七种中任一种可能的实现方式，在第九种可能的实现方式中，所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证包括：

所述服务器生成随机数，并根据所述第一接入密码和所述随机数生成第一 期望响应值，并将所述随机数发送给所述第一用户设备；

所述第一用户设备根据所述随机数和所述第二接入密码生成第二期望响应值，并将所述第二期望响应值发送给所述服务器；

所述服务器判断所述第一期望响应值和所述第二期望响应值是否相同；

若判断结果为是，所述服务器判定EAP认证成功；

若判断结果为否，所述服务器判定EAP认证失败。

本发明第二方面提供了一种服务器，包括：

信息接收模块，用于接收第一用户设备发送的接入信息，所述接入信息携带所述第一用户设备的身份信息；

接入请求发送模块，用于根据所述接入信息向第二用户设备发送接入请求；

指令接收模块，用于接收所述第二用户设备针对所述接入请求发送的确认指令；

挑战码生成模块，用于根据所述第一用户设备的身份信息生成挑战码；

接入密码生成模块，用于根据所述挑战码生成第一接入密码；

信息发送模块，用于将所述挑战码发送给所述第一用户设备，以使所述第一用户设备根据所述挑战码生成第二接入密码；

认证模块，用于通过所述第一接入密码与所述第一用户设备完成EAP认证。

在第二方面的第一种可能的实现方式中，还包括：

检测模块，用于根据所述第一用户设备的身份信息检测本地是否存在所述第一用户设备对应的第一接入密码，且若检测到本地不存在所述第一用户设备对应的所述第一接入密码，则触发所述接入请求发送模块根据所述接入信息向第二用户设备发送接入请求；

所述认证模块还用于：

若所述检测模块检测到本地存在所述第一用户设备对应的所述第一接入密码，则通过所述第一用户设备对应的所述第一接入密码与所述第一用户设备完成EAP认证。

在第二方面的第二种可能的实现方式中，所述第一用户设备的身份信息包 括所述第一用户设备的国际移动设备身份码IMEI；

所述挑战码生成模块具体用于：

将所述第一用户设备的IMEI、当前时刻以及从某一随机数开始的自增数值组合成字符串，并将所述字符串作为所述挑战码。

在第二方面的第三种可能的实现方式中，所述接入密码生成模块具体用于：

通过服务器证书中的服务器公钥将所述挑战码加密成密文；

通过单向散列函数对所述密文进行单向散列，并通过削减函数对单向散列后的所述密文进行处理获得所述第一接入密码。

在第二方面的第四种可能的实现方式中，还包括：

存储模块，用于根据所述第一用户设备的身份信息保存所述第一接入密码，并启动计时器计时；

删除模块，用于当所述计时器计时达到预设时长，则删除所述第一接入密码。

在第二方面的第五种可能的实现方式中，还包括：

通知模块，用于向所述第二用户设备发送所述EAP认证结果。

在第二方面的第六种可能的实现方式中，所述接入请求发送模块具体用于：

根据预设的身份信息与联系信息的对应关系，获取所述第一用户设备的身份信息对应的联系信息，并通过获取得到的所述联系信息向所述第二用户设备发送接入请求。

在第二方面的第七种可能的实现方式中，所述接入信息还携带联系信息，所述接入请求发送模块具体用于：

通过所述接入信息携带的所述联系信息向所述第二用户设备发送接入请求。

结合第二方面或第二方面的第一种至第七种中任一种可能的实现方式，在第八种可能的实现方式中，所述信息接收模块还用于：

接收所述第一用户设备发送的所述第二接入密码；

所述认证模块具体用于：

判断所述第一接入密码和所述第二接入密码是否相同；

若判断结果为是，判定EAP认证成功；

若判断结果为否，判定EAP认证失败。

结合第二方面或第二方面的第一种至第五种中任一种可能的实现方式，在第九种可能的实现方式中，所述认证模块具体用于：

生成随机数，并根据所述第一接入密码和所述随机数生成第一期望响应值，并将所述随机数发送给所述第一用户设备，以使所述第一用户设备根据所述随机数和所述第二接入密码生成第二期望响应值；

接收所述第一用户设备发送的所述第二期望响应值；

判断所述第一期望响应值和所述第二期望响应值是否相同；

若判断结果为是，判定EAP认证成功；

若判断结果为否，判定EAP认证失败。

本发明第三方面还提供了一种无线局域网络的接入认证系统，包括第一用户设备、接入点设备、服务器和第二用户设备，其中：

所述第一用户设备，用于通过所述接入点设备向所述服务器发送接入信息，所述接入信息携带所述第一用户设备的身份信息；

所述服务器，用于根据所述接入信息向第二用户设备发送接入请求；

所述第二用户设备，用于对所述接入请求进行验证；

所述服务器还用于，若所述服务器接收到所述第二用户设备针对所述接入请求发送的确认指令，生成挑战码，并根据所述挑战码生成第一接入密码；

所述服务器还用于，通过所述接入点设备将所述挑战码发送给所述第一用户设备；

所述第一用户设备还用于，根据所述挑战码生成第二接入密码；

所述服务器还用于，通过所述第一接入密码与所述第一用户设备完成EAP认证。

采用本发明实施例，具有以下有益效果：

服务器在接收到第一用户设备发送的接入信息时，根据接入信息携带的第二用户设备的联系信息向所述第二用户设备发送接入请求，服务器若接收到所述第二用户设备针对所述接入请求发送的确认指令，服务器则生成挑战码，并 将所述挑战码发送给第一用户设备，服务器和第一用户设备通过所述挑战码生成的密码完成EAP认证，由于，服务器和第一用户设备是通过挑战码生成的密码完成EAP认证的，不再使用用户设定的静态密码，因此，解决了字典攻击的问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种无线局域网络的接入认证方法的流程图；

图2是本发明实施例提供的另一种无线局域网络的接入认证方法的流程图；

图3是本发明实施例提供的又一种无线局域网络的接入认证方法的流程图。

图4是本发明实施例提供的一种服务器的结构示意图；

图5是本发明实施例提供的一种认证系统的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在此部分，对各个实施例均会涉及到的一些基本概念进行说明。

扩展认证协议(全称：Extensible Authentication Protocol，简称：EAP)是一个认证框架，提供一些公共功能，允许协商所希望的认证机制，这些机制被称为EAP方法，包括EAP-MD5，EAP-TLS，EAP-TTLS，EAP-PEAP等，本发明以较常用的EAP-TTLS为例介绍发明内容。本发明也适用于其他使用用户名-密码方式认证的EAP认证方法。

请参阅图1，图1是本发明实施例提供的一种无线局域网络的接入认证方法的流程图；本发明实施例是从服务器角度描述的。如图1所示所述方法包括：

步骤S101，服务器接收第一用户设备发送的接入信息，所述接入信息携带所述第一用户设备的身份信息。

第一用户设备需要接入某无线局域网络时，可以向该无线局域网络的接入点设备发送EAP-Start消息，请求接入该无线局域网络；其中，所述第一用户设备可以是有卡设备(即设备本身安装有无线网卡)，也可以是无卡设备(即设备本身没有安装无线网卡)，本发明不限定；

所述接入点设备接收到该EAP-Start消息时，向所述第一用户设备发送身份请求消息；

所述第一用户设备在接收到所述身份请求消息时，向所述接入点设备发送接入信息，所述接入信息携带所述第一用户设备的身份信息和第二用户设备的联系信息，所述接入点设备将所述接入信息发送给服务器，所述服务器进而接收到所述第一用户设备发送的接入信息。

所述第一用户设备的身份信息至少可以包括所述第一用户设备的国际移动设备身份码(全称：International Mobile Equipment Identity，简称：IMEI)，除此之外，所述第一用户设备的身份信息还可以包括所述第一用户设备的媒体访问控制地址(全称：Media Access Control，简称：MAC)、设备型号或设备名称等。

可理解的是，第一用户设备和服务器之间的交互是通过接入点设备中转的。

步骤S102，所述服务器根据所述接入信息向第二用户设备发送接入请求。

所述第二用户设备用于对所述第一用户设备进行接入认证。其中，所述第二用户设备和所述第一用户设备可以是同一用户设备或不同的用户设备，本发明不限定；若所述第二用户设备和所述第一用户设备是同一用户设备时，相当于所述第一用户设备接入所述无线局域网络产生的流量费用由自身用户设备承当；若所述第二用户设备和所述第一用户设备不是同一用户设备，相当于所述第一用户设备接入所述无线局域网里产生的流量费用由第二用户设备承当。

在一种可选的实施方式中，所述服务器根据预设的身份信息与联系信息的对应关系，获取所述第一用户设备的身份信息对应的联系信息，并通过获取得到的所述联系信息向所述第二用户设备发送接入请求。

在另一种可选的实施方式中，所述接入信息还携带联系信息，所述服务器通过所述接入信息携带的所述联系信息向所述第二用户设备发送接入请求。

其中，第二用户设备的联系信息可以为所述第二用户设备的手机号码或与所述的第二用户设备关联的邮箱号码；优选的，所述第二用户设备的联系信息为所述第二用户设备的手机号码。

优选的，所述服务器可以以短消息的方式向所述第二用户设备发送接入请求，所述接入请求携带所述第二用户设备的身份信息。

进一步的，所述第一用户设备还可以对所述服务器进行认证。

具体实现中，所述服务器当接收到所述接入信息时，还可以向所述第一用户设备发送EAP-TTLS消息，第一用户设备当接收到所述EAP-TTLS消息时，所述第一用户设备向所述服务器发送客户端Hello消息以启动握手过程，其中，所述客户端Hello消息包括TTLS版本、session ID、RC和第一用户设备支持的加密方式，服务器当接收到所述客户端Hello消息时，先判断所述客户端Hello消息中的session ID与本地预先存储的session ID是否匹配，若判断结果为是，所述服务器则向所述第一用户设备发送确认消息，所述确认消息携带服务器Hello、服务器证书、密钥切换和sever-Hello-done消息；所述第一用户设备接收到所述确认消息时，判断所述确认消息中的服务器Hello和服务器证书是否合法，若判断结果为是，所述服务器则认证通过；当所述服务器认证通过，所述第一用户设备可以随机生成字符串，并通过所述服务器证书中的服务器公钥对所述字符串加密，并和更改密码规范(全称：Change Cipher Spec，简称：CCS)一起发送给服务器；服务器在接收到所述字符串和CCS时，执行步骤S102的步骤。

其中，当客户端(即第一用户设备)第一次请求session对象时，服务器会为该客户端创建一个session，并通过特殊算法算出一个session的ID，用来标识该session对象，当该客户端的浏览器下次(session有效时)请求别的资源时，所述浏览器会将该session ID放置到请求头中，服务器接收到该请求后 就得到该请求的session ID，服务器找到该ID的session返还给请求者(Servlet)使用。

步骤S103，若所述服务器接收到所述第二用户设备针对所述接入请求发送的确认指令，所述服务器根据所述第一用户设备的身份信息生成挑战码，并根据所述挑战码生成第一接入密码。

所述第二用户设备当接收到所述接入请求时，可以根据所述接入请求提示用户，如显示所述第一用户设备接入无线局域网的消息等，若所述用户允许所述第一用户设备接入所述无线局域网，所述第二用户设备则可以以短消息的方式向所述服务器发送针对所述接入请求的确认指令。

服务器当接收到针对所述接入请求的确认指令时，则生成挑战码。具体实现中，所述服务器可以将所述第一用户设备的IMEI、当前时刻以及从某一随机数开始的自增数值组合成字符串，并将所述字符串作为所述挑战码。

所述服务器再根据所述挑战码生成第一接入密码。具体实现中，所述服务器通过服务器证书中的服务器公钥将所述挑战码加密成密文，再通过单向散列函数对所述密文进行单向散列，并通过削减函数对单向散列后的所述密文进行处理获得所述第一接入密码。

步骤S104，所述服务器将所述挑战码发送给所述第一用户设备，以使所述第一用户设备根据所述挑战码生成第二接入密码。

同样，所述第一用户设备可以通过服务器证书中的服务器公钥将接收到的所述挑战码加密成密文，再通过单向散列函数对所述密文进行单向散列，并通过削减函数对单向散列后的所述密文进行处理获得所述第二接入密码。

在本发明实施例中，服务器根据所述挑战码生成第一接入密码之后，再将所述挑战码发送给所述第一用户设备，在其他可选实施例中，服务器可以先将所述挑战码发送给所述第一用户设备，再根据所述挑战码生成第一接入密码，或者，服务器同时执行根据所述挑战码生成第一接入密码和将所述挑战码发送给所述第一用户设备，本发明不限定。

步骤S105，所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证。

在一种可选的实施方式中，若所述服务器接收到所述第一用户设备发送的 所述第二接入密码，所述服务器则判断所述第一接入密码和所述第二接入密码是否相同；若判断结果为是，所述服务器判定EAP认证成功；若判断结果为否，所述服务器判定EAP认证失败。

在另一种可选的实施方式中，所述服务器可以生成随机数，并根据所述第一接入密码和所述随机数生成第一期望响应值，并将所述随机数发送给所述第一用户设备；所述第一用户设备根据所述随机数和所述第二接入密码生成第二期望响应值，并将所述第二期望响应值发送给所述服务器；所述服务器判断所述第一期望响应值和所述第二期望响应值是否相同；若判断结果为是，所述服务器判定EAP认证成功；若判断结果为否，所述服务器判定EAP认证失败。

在图1所示的实施例中，服务器在接收到第一用户设备发送的接入信息时，根据所述接入信息向所述第二用户设备发送接入请求，服务器若接收到所述第二用户设备针对所述接入请求发送的确认指令，服务器则生成挑战码，并将所述挑战码发送给第一用户设备，服务器和第一用户设备通过所述挑战码生成的密码完成EAP认证，由于，服务器和第一用户设备是通过挑战码生成的密码完成EAP认证的，不再使用用户设定的静态密码，因此，解决了字典攻击的问题。

请参阅图2，图2是本发明实施例提供的另一种无线局域网络的接入认证方法；本发明实施例是从服务器角度描述的；如图2所示所述方法可以包括：

步骤S201，服务器接收第一用户设备发送的接入信息，所述接入信息携带所述第一用户设备的身份信息和第二用户设备的联系信息。

第一用户设备需要接入某无线局域网络时，可以向该无线局域网络的接入点设备发送EAP-Start消息，请求接入该无线局域网络；

所述接入点设备接收到该EAP-Start消息时，向所述第一用户设备发送身份请求消息；

所述第一用户设备在接收到所述身份请求消息时，向所述接入点设备发送接入信息，所述接入信息携带所述第一用户设备的身份信息和第二用户设备的联系信息，所述接入点设备将所述接入信息发送给服务器，所述服务器进而接收到所述第一用户设备发送的接入信息。

可理解的是，第一用户设备和服务器之间的交互是通过接入点设备中转的。

步骤S202，所述服务器根据所述第一用户设备的身份信息检测本地是否存在所述第一用户设备对应的第一接入密码；若检测到本地存在所述第一用户设备对应的第一接入密码，则执行步骤S203；否则，执行步骤S204；

所述第一用户设备的身份信息至少可以包括所述第一用户设备的IMEI，除此之外，所述第一用户设备的身份信息还可以包括所述第一用户设备的MAC地址、设备型号或设备名称等。

服务器可以将生成的所述第一接入密码在本地保存一段时间，若在这一段时间内服务器又接收到所述第一用户设备发送的接入信息，所述服务器可以直接通过所述第一接入密码与所述第一用户设备完成EAP认证，进一步提高了认证效率，进而，提高了WIFI接入效率。

步骤S203，所述服务器通过检测到的所述第一用户设备对应的所述第一接入密码与所述第一用户设备完成EAP认证。

在一种可选的实施方式中，所述服务器可以请求所述第一用户设备发送第二接入密码，当所述服务器接收到所述第一用户设备发送的所述第二接入密码时，所述服务器则判断所述第一接入密码和所述第二接入密码是否相同；若判断结果为是，所述服务器判定EAP认证成功；若判断结果为否，所述服务器判定EAP认证失败。

在另一种可选的实施方式中，所述服务器可以生成随机数，并根据所述第一接入密码和所述随机数生成第一期望响应值，并将所述随机数发送给所述第一用户设备；所述第一用户设备根据所述随机数和所述第二接入密码生成第二期望响应值，并将所述第二期望响应值发送给所述服务器；所述服务器判断所述第一期望响应值和所述第二期望响应值是否相同；若判断结果为是，所述服务器判定EAP认证成功；若判断结果为否，所述服务器判定EAP认证失败。

步骤S204，所述服务器根据所述第二用户设备的联系信息向所述第二用户设备发送接入请求。

优选的，所述服务器可以以短消息的方式向所述第二用户设备发送接入请求，所述接入请求携带所述第二用户设备的身份信息。

进一步的，所述第一用户设备还可以对所述服务器进行认证。

具体实现中，所述服务器当接收到所述接入信息时，还可以向所述第一用户设备发送一个EAP-TTLS消息，第一用户设备当接收到所述EAP-TTLS消息时，所述第一用户设备向所述服务器发送客户端Hello消息以启动握手过程，其中，所述客户端Hello消息包括TTLS版本、session ID、RC和第一用户设备支持的加密方式，服务器当接收到所述客户端Hello消息时，先判断所述客户端Hello消息中的session ID与本地预先存储的session ID是否匹配，若判断结果为是，所述服务器则向所述第一用户设备发送确认消息，所述确认消息携带服务器Hello、服务器证书、密钥切换和sever-Hello-done消息；所述第一用户设备接收到所述确认消息时，判断所述确认消息中的服务器Hello和服务器证书是否合法，若判断结果为是，所述服务器则认证通过；当所述服务器认证通过，所述第一用户设备可以随机生成字符串，并通过所述服务器证书中的服务器公钥对所述字符串加密，并和更改密码规范(全称：Change Cipher Spec，简称：CCS)一起发送给服务器；服务器在接收到所述字符串和CCS时，执行步骤S204的步骤。

步骤S205，若所述服务器接收到所述第二用户设备针对所述接入请求发送的确认指令，所述服务器根据所述第一用户设备的身份信息生成挑战码。

所述第二用户设备当接收到所述接入请求时，可以根据所述接入请求提示用户，如显示所述第一用户设备接入无线局域网的消息等，若所述用户允许所述第一用户设备接入所述无线局域网，所述第二用户设备则可以以短消息的方式向所述服务器发送针对所述接入请求的确认指令。

服务器当接收到针对所述接入请求的确认指令时，则生成挑战码。具体实现中，所述服务器可以将所述第一用户设备的IMEI、当前时刻以及从某一随机数开始的自增数值组合成字符串，并将所述字符串作为所述挑战码。

步骤S206，所述服务器根据所述挑战码生成第一接入密码。

具体实现中，所述服务器通过服务器证书中的服务器公钥将所述挑战码加密成密文，再通过单向散列函数对所述密文进行单向散列，并通过削减函数对单向散列后的所述密文进行处理获得所述第一接入密码。

步骤S207，所述服务器将所述挑战码发送给所述第一用户设备，以使所 述第一用户设备根据所述挑战码生成第二接入密码。

同样，所述第一用户设备可以通过服务器证书中的服务器公钥将接收到的所述挑战码加密成密文，再通过单向散列函数对所述密文进行单向散列，并通过削减函数对单向散列后的所述密文进行处理获得所述第二接入密码。

步骤S208，所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证。

在一种可选的实施方式中，若所述服务器接收到所述第一用户设备发送的所述第二接入密码，所述服务器则判断所述第一接入密码和所述第二接入密码是否相同；若判断结果为是，所述服务器判定EAP认证成功；若判断结果为否，所述服务器判定EAP认证失败。

在另一种可选的实施方式中，所述服务器可以生成随机数，并根据所述第一接入密码和所述随机数生成第一期望响应值，并将所述随机数发送给所述第一用户设备；所述第一用户设备根据所述随机数和所述第二接入密码生成第二期望响应值，并将所述第二期望响应值发送给所述服务器；所述服务器判断所述第一期望响应值和所述第二期望响应值是否相同；若判断结果为是，所述服务器判定EAP认证成功；若判断结果为否，所述服务器判定EAP认证失败。

步骤S209，所述服务器根据所述第一用户设备的身份信息保存所述第一接入密码，并启动计时器计时。

需要说明的是，步骤S206、S207和S209之间没有严格的先后顺序，也可以同时执行。

步骤S210，当所述计时器计时达到预设时长，所述服务器则删除所述第一接入密码。

在图2所示的实施例中，服务器可以将根据第一用户设备生成的第一接入密码在本地保存一段时间，若在这一段时间内服务器又接收到所述第一用户设备发送的接入信息，所述服务器可以直接通过所述第一接入密码与所述第一用户设备完成EAP认证，进一步提高了认证效率，进而，提高了WIFI接入效率。

请参阅图3，图3是本发明实施例提供的又一种无线局域网络的接入认证方法；本发明实施例是从认证系统的角度描述的；为了便于描述，在本发明实 施例中，第一用户设备简称为“STA1”，第二用户设备简称为“STA2”，接入点设备简称为“AP”，服务器简称为“Server”。如图3所示所述方法可以包括：

步骤S301，STA1向无线局域网络中的AP发送EAP-Start消息。

当STA1需要接入某无线局域网络时，可以向该无线局域网络中的AP发送EAP-Start消息。

步骤S302，AP向STA1发送身份请求消息。

步骤S303，STA1向AP发送接入信息，所述接入信息携带STA1的身份信息和STA2的联系信息。

步骤S304，AP将所述接入信息发送给Server。

当然，AP还可以对接收到的接入信息进行格式转换，转换成Server能够识别的报文格式。

步骤S305，Server向AP发送一个EAP-TTLS消息。

步骤S306，AP将EAP-TTLS消息发送给STA1。

当然，AP还可以对接收到的EAP-TTLS消息进行格式转换，转换成STA1能够识别的报文格式。

步骤S307，STA1向AP发送客户端Hello消息，所述客户端Hello消息包括TTLS版本、session ID、RC和STA1支持的加密方式。

步骤S308，AP将客户端Hello消息发送给Server。

步骤S309，Server判断客户端Hello消息中的session ID与本地预先存储的session ID是否匹配；若判断结果为是，则执行步骤S310。

步骤S310，Server向AP发送确认消息，所述确认消息携带服务器Hello、服务器证书、密钥切换和sever-Hello-done消息。

步骤S311，AP将所述确认消息发送给STA1。

步骤S312，STA1判断所述确认消息中的服务器Hello和服务器证书是否合法，若判断结果为是，说明所述服务器认证通过，则执行步骤S313。

步骤S313，STA1随机生成字符串，并通过所述服务器证书中的服务器公钥对所述字符串加密，并将加密后的所述字符串和CCS发送给AP。

步骤S314，AP将加密后的所述字符串和CCS发送给Server。

步骤S315，Server根据所述STA2的联系信息向STA2发送接入请求。

步骤S316，Server接收STA2针对所述接入请求发送的确认指令，并根据所述确认指令生成挑战码。

步骤S317，Server根据所述挑战码生成第一接入密码。

步骤S318，Server将所述挑战码发送给AP。

步骤S319，AP将所述挑战码发送给STA1。

步骤S320，STA1根据所述挑战码生成第二接入密码。

步骤S321，STA1将所述第二接入密码发送给AP。

步骤S322，AP将所述第二接入密码发送给Server。

步骤S323，Server判断第二接入密码和第一接入密码是否相同，若相同，说明EAP认证成功。

在图3所示的实施例中，Server在接收到STA1发送的接入信息时，根据接入信息携带的STA2的联系信息向STA2发送接入请求，Server若接收到STA2针对所述接入请求发送的确认指令，则生成挑战码，并根据所述挑战码生成第一接入密码，并将所述挑战码发送给STA1，STA1根据所述挑战码生成第二接入密码，并将所述第二接入密码发送给Server，Server通过第一接入密码和第二接入密码完成EAP认证，本发明实施例不再使用用户设定的静态密码，因此，解决了字典攻击的问题。

请参阅图4，图4是本发明实施例提供的一种服务器的结构示意图。如图4所示所述服务器4至少可以包括：信息接收模块401、接入请求发送模块402、指令接收模块403、挑战码生成模块404、接入密码生成模块405、信息发送模块406以及认证模块407，其中：

信息接收模块401，用于接收第一用户设备发送的接入信息，所述接入信息携带所述第一用户设备的身份信息。

接入请求发送模块402，用于根据所述接入信息向第二用户设备发送接入请求。

在一种可选的实施方式中，所述接入请求发送模块402具体用于：

根据预设的身份信息与联系信息的对应关系，获取所述第一用户设备的身份信息对应的联系信息，并通过获取得到的所述联系信息向所述第二用户设备 发送接入请求。

在另一种可选的实施方式中，所述接入信息还携带联系信息，所述接入请求发送模块402具体用于：

通过所述接入信息携带的所述联系信息向所述第二用户设备发送接入请求。

指令接收模块403，用于接收所述第二用户设备针对所述接入请求发送的确认指令。

挑战码生成模块404，用于根据所述第一用户设备的身份信息生成挑战码；

所述第一用户设备的身份信息包括所述第一用户设备的IMEI；

所述挑战码生成模块404具体可以用于：

将所述第一用户设备的IMEI、当前时刻以及从某一随机数开始的自增数值组合成字符串，并将所述字符串作为所述挑战码。

接入密码生成模块405，用于根据所述挑战码生成第一接入密码；

可选的，所述接入密码生成模块405具体可以用于：

通过服务器证书中的服务器公钥将所述挑战码加密成密文；

通过单向散列函数对所述密文进行单向散列，并通过削减函数对单向散列后的所述密文进行处理获得所述第一接入密码。

信息发送模块406，用于将所述挑战码发送给所述第一用户设备，以使所述第一用户设备根据所述挑战码生成第二接入密码。

认证模块407，用于通过所述第一接入密码与所述第一用户设备完成EAP认证；

在一种可选的实施方式中，所述信息接收模块还401还用于：

接收所述第一用户设备发送的所述第二接入密码；

所述认证模块407具体还用于：

判断所述第一接入密码和所述第二接入密码是否相同；

若判断结果为是，判定EAP认证成功；

若判断结果为否，判定EAP认证失败。

在另一种可选的实施方式中，所述认证模块407具体可以用于：

生成随机数，并根据所述第一接入密码和所述随机数生成第一期望响应值，并将所述随机数发送给所述第一用户设备，以使所述第一用户设备根据所述随机数和所述第二接入密码生成第二期望响应值；

接收所述第一用户设备发送的所述第二期望响应值；

判断所述第一期望响应值和所述第二期望响应值是否相同；

若判断结果为是，判定EAP认证成功；

若判断结果为否，判定EAP认证失败。

进一步的，所述服务器4还可以包括检测模块408，用于根据所述第一用户设备的身份信息检测本地是否存在所述第一用户设备对应的第一接入密码，且若检测到本地不存在所述第一用户设备对应的所述第一接入密码，则触发所述接入请求发送模块402根据所述接入信息向第二用户设备发送接入请求；

相应地，所述认证模块407还用于：

若所述检测模块408检测到本地存在所述第一用户设备对应的所述第一接入密码，则通过所述第一用户设备对应的所述第一接入密码与所述第一用户设备完成EAP认证。

再进一步的，所述服务器4还可以包括存储模块409和删除模块410，其中：

存储模块409，用于根据所述第一用户设备的身份信息保存所述第一接入密码，并启动计时器计时；

删除模块410，用于当所述计时器计时达到预设时长，则删除所述存储模块409存储的所述第一接入密码。

再进一步的，所述服务器4还可以包括通知模块411，用于向所述第二用户设备发送所述EAP认证结果。

可理解的是，本实施例的服务器4的各功能模块的功能可根据上述方法实施例中的方法具体实现，可以具体对应参考图1或图3方法实施例的相关描述，此处不再赘述。

请参阅图5，图5是本发明实施例提供的一种认证系统的示意图。如图5所示所述认证系统包括第一用户设备51、接入点设备52、服务器53和第二用 户设备54，其中：

所述第一用户设备51，用于通过所述接入点设备52向所述服务器53发送接入信息，所述接入信息携带所述第一用户设备51的身份信息；

所述服务器53，用于根据所述接入信息向所述第二用户设备54发送接入请求；其中，所述服务器53可以为前文图4所描述的服务器。

所述第二用户设备54，用于对所述接入请求进行验证；

所述服务器53，还用于若所述服务器53接收到所述第二用户设备54针对所述接入请求发送的确认指令，根据所述第一用户设备的身份信息生成挑战码，并根据所述挑战码生成第一接入密码；

所述服务器53，还用于通过所述接入点设备52将所述挑战码发送给所述第一用户设备51；

所述第一用户设备51，还用于根据所述挑战码生成第二接入密码；

所述服务器53，还用于通过所述第一接入密码与所述第一用户设备51完成EAP认证。

进一步的，所述服务器53在接收到接入信息之后，还可以执行以下操作：

根据所述第一用户设备51的身份信息检测本地是否存在所述第一用户设备51对应的第一接入密码；

若是，通过检测到的所述第一用户设备51对应的所述第一接入密码与所述第一用户设备51完成EAP认证；

若否，执行所述根据所述接入信息向所述第二用户设备54发送接入请求的步骤。

再进一步的，所述服务器53根据所述挑战码生成第一接入密码之后，还可以执行以下操作：

所述服务器53根据所述第一用户设备51的身份信息保存所述第一接入密码，并启动计时器计时；

当所述计时器计时达到预设时长，则删除所述第一接入密码。

再进一步的，所述服务器53通过所述第一接入密码与所述第一用户设备51完成EAP认证之后，还可以执行以下操作：

向所述第二用户设备54发送所述EAP认证结果。

服务器在接收到第一用户设备发送的接入信息时，根据接入信息携带的第二用户设备的联系信息向所述第二用户设备发送接入请求，服务器若接收到所述第二用户设备针对所述接入请求发送的确认指令，服务器则生成挑战码，并将所述挑战码发送给第一用户设备，服务器和第一用户设备通过所述挑战码生成的密码完成EAP认证，由于，服务器和第一用户设备是通过挑战码生成的密码完成EAP认证的，不再使用用户设定的静态密码，因此，解决了字典攻击的问题。

需要说明的是，在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明实施例所必须的。

本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。

本发明实施例装置中的模块可以根据实际需要进行合并、划分和删减。

本发明实施例中所述模块，可以通过通用集成电路，例如CPU(Central Processing Unit，中央处理器)，或通过ASIC(Application Specific Integrated Circuit，专用集成电路)来实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims (21)

1. 一种无线局域网络的接入认证方法，其特征在于，包括：

   服务器接收第一用户设备发送的接入信息，所述接入信息携带所述第一用户设备的身份信息；

   所述服务器根据所述接入信息向第二用户设备发送接入请求；

   若所述服务器接收到所述第二用户设备针对所述接入请求发送的确认指令，所述服务器根据所述第一用户设备的身份信息生成挑战码，并根据所述挑战码生成第一接入密码；

   所述服务器将所述挑战码发送给所述第一用户设备，以使所述第一用户设备根据所述挑战码生成第二接入密码；

   所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证。
2. 如权利要求1所述的方法，其特征在于，所述服务器接收第一用户设备发送的接入信息之后，所述方法还包括：

   所述服务器根据所述第一用户设备的身份信息检测本地是否存在所述第一用户设备对应的第一接入密码；

   若是，所述服务器通过检测到的所述第一用户设备对应的所述第一接入密码与所述第一用户设备完成EAP认证；

   若否，所述服务器执行所述根据所述接入信息向第二用户设备发送接入请求的步骤。
3. 如权利要求1所述的方法，其特征在于，所述第一用户设备的身份信息包括所述第一用户设备的国际移动设备身份码IMEI；

   所述服务器根据所述第一用户设备的身份信息生成挑战码包括：

   所述服务器将所述第一用户设备的IMEI、当前时刻以及从某一随机数开始的自增数值组合成字符串，并将所述字符串作为所述挑战码。
4. 如权利要求1所述的方法，其特征在于，所述服务器根据所述挑战码 生成第一接入密码包括：

   所述服务器通过服务器证书中的服务器公钥将所述挑战码加密成密文；

   所述服务器通过单向散列函数对所述密文进行单向散列，并通过削减函数对单向散列后的所述密文进行处理获得所述第一接入密码。
5. 如权利要求1所述的方法，其特征在于，所述服务器根据所述挑战码生成第一接入密码之后，所述方法还包括：

   所述服务器根据所述第一用户设备的身份信息保存所述第一接入密码，并启动计时器计时；

   当所述计时器计时达到预设时长，所述服务器则删除所述第一接入密码。
6. 如权利要求1所述的方法，其特征在于，所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证之后，所述方法还包括：

   所述服务器向所述第二用户设备发送所述EAP认证结果。
7. 如权利要求1所述的方法，其特征在于，所述服务器根据所述接入信息向第二用户设备发送接入请求包括：

   所述服务器根据预设的身份信息与联系信息的对应关系，获取所述第一用户设备的身份信息对应的联系信息，并通过获取得到的所述联系信息向所述第二用户设备发送接入请求。
8. 如权利要求1所述的方法，其特征在于，所述接入信息还携带联系信息，所述服务器根据所述接入信息向第二用户设备发送接入请求包括：

   所述服务器通过所述接入信息携带的所述联系信息向所述第二用户设备发送接入请求。
9. 如权利要求1-8中任一项所述的方法，其特征在于，所述服务器将所述挑战码发送给所述第一用户设备之后，所述方法还包括：

   所述服务器接收所述第一用户设备发送的所述第二接入密码；

   所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证包括：

   所述服务器判断所述第一接入密码和所述第二接入密码是否相同；

   若判断结果为是，所述服务器判定EAP认证成功；

   若判断结果为否，所述服务器判定EAP认证失败。
10. 如权利要求1-8中任一项所述的方法，其特征在于，所述服务器通过所述第一接入密码与所述第一用户设备完成EAP认证包括：

    所述服务器生成随机数，并根据所述第一接入密码和所述随机数生成第一期望响应值，并将所述随机数发送给所述第一用户设备；

    所述第一用户设备根据所述随机数和所述第二接入密码生成第二期望响应值，并将所述第二期望响应值发送给所述服务器；

    所述服务器判断所述第一期望响应值和所述第二期望响应值是否相同；

    若判断结果为是，所述服务器判定EAP认证成功；

    若判断结果为否，所述服务器判定EAP认证失败。
11. 一种服务器，其特征在于，包括：

    信息接收模块，用于接收第一用户设备发送的接入信息，所述接入信息携带所述第一用户设备的身份信息；接入请求发送模块，用于根据所述接入信息向第二用户设备发送接入请求；

    指令接收模块，用于接收所述第二用户设备针对所述接入请求发送的确认指令；

    挑战码生成模块，用于根据所述第一用户设备的身份信息生成挑战码；

    接入密码生成模块，用于根据所述挑战码生成第一接入密码；

    信息发送模块，用于将所述挑战码发送给所述第一用户设备，以使所述第一用户设备根据所述挑战码生成第二接入密码；

    认证模块，用于通过所述第一接入密码与所述第一用户设备完成EAP认证。
12. 如权利要求11所述的服务器，其特征在于，还包括：

    检测模块，用于根据所述第一用户设备的身份信息检测本地是否存在所述第一用户设备对应的第一接入密码，且若检测到本地不存在所述第一用户设备对应的所述第一接入密码，则触发所述接入请求发送模块根据所述接入信息向第二用户设备发送接入请求；

    所述认证模块还用于：

    若所述检测模块检测到本地存在所述第一用户设备对应的所述第一接入密码，则通过所述第一用户设备对应的所述第一接入密码与所述第一用户设备完成EAP认证。
13. 如权利要求11所述的服务器，其特征在于，所述第一用户设备的身份信息包括所述第一用户设备的国际移动设备身份码IMEI；

    所述挑战码生成模块具体用于：

    将所述第一用户设备的IMEI、当前时刻以及从某一随机数开始的自增数值组合成字符串，并将所述字符串作为所述挑战码。
14. 如权利要求11所述的服务器，其特征在于，

    所述接入密码生成模块具体用于：

    通过服务器证书中的服务器公钥将所述挑战码加密成密文；

    通过单向散列函数对所述密文进行单向散列，并通过削减函数对单向散列后的所述密文进行处理获得所述第一接入密码。
15. 如权利要求11所述的服务器，其特征在于，还包括：

    存储模块，用于根据所述第一用户设备的身份信息保存所述第一接入密码，并启动计时器计时；

    删除模块，用于当所述计时器计时达到预设时长，则删除所述第一接入密码。
16. 如权利要求11所述的服务器，其特征在于，还包括：

    通知模块，用于向所述第二用户设备发送所述EAP认证结果。
17. 如权利要求11所述的服务器，其特征在于，

    所述接入请求发送模块具体用于：

    根据预设的身份信息与联系信息的对应关系，获取所述第一用户设备的身份信息对应的联系信息，并通过获取得到的所述联系信息向所述第二用户设备发送接入请求。
18. 如权利要求11所述的服务器，其特征在于，所述接入信息还携带联系信息，所述接入请求发送模块具体用于：

    通过所述接入信息携带的所述联系信息向所述第二用户设备发送接入请求。
19. 如权利要求11-18中任一项所述的服务器，其特征在于，

    所述信息接收模块还用于：

    接收所述第一用户设备发送的所述第二接入密码；

    所述认证模块具体用于：

    判断所述第一接入密码和所述第二接入密码是否相同；

    若判断结果为是，判定EAP认证成功；

    若判断结果为否，判定EAP认证失败。
20. 如权利要求11-18中任一项所述的服务器，其特征在于，

    所述认证模块具体用于：

    生成随机数，并根据所述第一接入密码和所述随机数生成第一期望响应值，并将所述随机数发送给所述第一用户设备，以使所述第一用户设备根据所述随机数和所述第二接入密码生成第二期望响应值；

    接收所述第一用户设备发送的所述第二期望响应值；

    判断所述第一期望响应值和所述第二期望响应值是否相同；

    若判断结果为是，判定EAP认证成功；

    若判断结果为否，判定EAP认证失败。
21. 一种无线局域网络的接入认证系统，其特征在于，包括第一用户设备、接入点设备、服务器和第二用户设备，其中：

    所述第一用户设备，用于通过所述接入点设备向所述服务器发送接入信息，所述接入信息携带所述第一用户设备的身份信息；

    所述服务器，用于根据所述接入信息向第二用户设备发送接入请求；

    所述服务器还用于，根据所述第二用户设备的联系信息向所述第二用户设备发送接入请求；

    所述第二用户设备，用于对所述接入请求进行验证；

    所述服务器还用于，若所述服务器接收到所述第二用户设备针对所述接入请求发送的确认指令，根据所述第一用户设备的身份信息生成挑战码，并根据所述挑战码生成第一接入密码；

    所述服务器还用于，通过所述接入点设备将所述挑战码发送给所述第一用户设备；

    所述第一用户设备还用于，根据所述挑战码生成第二接入密码；

    所述服务器还用于，通过所述第一接入密码与所述第一用户设备完成EAP认证。

Images