CN104468626A - 实现移动终端无线认证加密的***及方法 - Google Patents

Abstract

本发明涉及一种实现移动终端无线认证加密的***及方法，其中包括移动终端，用以在与网络接入点初次建立通信时发送自身设备的IMEI至网络接入点以及在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至网络接入点；网络接入点，用以保存移动终端对应的IMEI和MAC地址以及当原无线连接密码认证失败时对移动终端进行认证。采用该种结构的实现移动终端无线认证加密的***及方法，当AP中的无线连接密码被修改后，如果该移动终端设备已经连接过该AP，该移动设备可以使用IMEI进行认证，并且以IMEI为基础，重新生成加密的密钥，方便移动终端用户的连接网络，提高用户使用体验，具有更广泛的应用范围。

Description

实现移动终端无线认证加密的***及方法

技术领域

本发明涉及无线网络技术领域，尤其涉及移动终端无线网络认证技术领域，具体是指一种实现移动终端无线认证加密的***及方法。

背景技术

认证加密是WLAN(Wireless Local Area Network，无线局域网)中常用的安全保障方法，目前常用的认证有预共享密钥或802.1X方式，常用的加密方式有TKIP(Temporal Key IntegrityProtocol，临时密钥集成协议)、CCMP(Counter CBC-MAC Protocol)等，不管使用哪个方法，当AP(Access Point，接入点)中用来认证加密的密码因一些原因被修改后，用户都需要去重新获取密码，并重新进行认证才能连接AP，这在一定程度上会让用户使用体验变差。

移动设备国际识别码IMEI(International Mobile Equipment Identity，国际移动设备识别码)是区别移动终端设备的标志，它储存在移动终端设备中，并且不可修改。它对于普通用户是不可见的，需要通过一些特殊的方法或指令从设备中获取，与无线设备中MAC地址相比，它不属于TCP/IP协议簇，无法通过网络嗅探的方法获取。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种能够实现原无线密码验证失败时移动设备可以使用IMEI进行认证、方便用户网络连接、具有更广泛应用范围的实现移动终端无线认证加密的***及方法。

为了实现上述目的，本发明的实现移动终端无线认证加密的***及方法具有如下构成：

该实现移动终端无线认证加密的***，其主要特点是，所述的***包括：

移动终端，用以在与网络接入点初次建立通信时发送自身设备的IMEI至所述的网络接入点以及在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至所述的网络接入点；

网络接入点，用以保存移动终端对应的IMEI和MAC地址以及当原无线连接密码认证失败时对所述的移动终端进行认证。

本发明还涉及一种基于所述的***实现移动终端无线认证加密的方法，其主要特点是，所述的方法包括以下步骤：

(1)所述的移动终端在与网络接入点初次建立通信时发送自身设备的IMEI至所述的网络接入点；

(2)所述的网络接入点保存移动终端对应的IMEI和MAC地址；

(3)所述的移动终端在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至所述的网络接入点；

(4)所述的网络接入点根据存储的移动终端对应的IMEI和MAC地址对移动终端进行认证。

较佳地，所述的移动终端在与网络接入点初次建立通信时发送自身设备的IMEI至所述的网络接入点，具体为：

所述的移动终端在与网络接入点初次建立通信时发送包含自身设备的IMEI和当期时间戳的数据报文至所述的网络接入点且保存当期时间戳。

较佳地，所述的网络接入点保存移动终端对应的IMEI和MAC地址，具体为：

所述的网络接入点将获取的移动终端的IMEI和MAC地址与数据库中的存储数据进行比较并将未存储的移动终端对应的IMEI和MAC地址进行保存。

较佳地，所述的移动终端在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至所述的网络接入点，包括以下步骤：

(3-1)所述的移动终端发送原无线连接密码至所述的网络接入点，如果认证通过，则继续后续连接，然后结束退出，如果认证失败，则继续步骤(3-2)；

(3-2)所述的移动终端将包含自身设备的MAC地址和IMEI的认证请求报文发送至所述的网络接入点。

更佳地，所述的网络接入点根据存储的移动终端对应的IMEI和MAC地址对移动终端进行认证，具体为：

所述的网络接入点将所述的认证请求报文中的MAC地址和IMEI与数据库中存储的数据进行比较，如果一致，则通过认证，否则认证失败。

更佳地，所述的移动终端将包含自身设备的MAC地址和IMEI的认证请求报文发送至所述的网络接入点，包括以下步骤：

(3-2-1)所述的移动终端将自身设备的MAC地址和IMEI进行MD5算法并将获得的MD5值及使用的MD5算法添加到认证请求报文中；

(3-2-2)所述的移动终端将所述的认证请求报文发送至所述的网络接入点。

更进一步地，所述的网络接入点根据存储的移动终端对应的IMEI和MAC地址对移动终端进行认证，包括以下步骤：

(4-1)所述的网络接入点提取所述的认证请求报文中的MAC地址并与数据库中的MAC地址进行比较；

(4-2)所述的网络接入点采用所述的认证请求报文中的MD5算法将数据库中的MAC地址和IMEI进行MD5算法；

(4-3)所述的网络接入点将获得的MD5值与所述的认证请求报文中的MD5值进行比较，如果一致，通过认证，否则认证失败。

采用了该发明中的实现移动终端无线认证加密的***及方法，具有如下有益效果：

(1)当AP中的无线连接密码被修改后，如果该移动终端设备已经连接过该AP，并且AP中还保留了该移动设备的相关信息，该移动设备可以使用IMEI进行认证，并且以IMEI为基础，重新生成加密的密钥，方便移动终端用户的连接网络，提高用户使用体验，具有更广泛的应用范围；

(2)本发明的方法是对公知802.11认证加密方法的补充，不影响公知的802.11认证加密流程，当移动终端或AP中的一方不支持本发明的方法时，可以仍使用公知流程进行认证和加密；同时为了管理方便，AP管理员可以对AP中的存有MAC和IMEI等信息的数据库进行删除操作；当AP中对应的移动终端信息被删除时，可重新建产条目，并执行此方法的流程。

附图说明

图1为本发明的实现移动终端无线认证加密的方法的流程图。

图2为本发明的实现移动终端无线认证加密的方法应用于具体实施例的流程图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。

本发明主要涉及IEEE802.11标准的无线局域WLAN(Wireless Local Area Network)网通信领域，尤其移动终端的认证加密技术。本发明公开一种移动终端的无线认证加密的方法和***，其方法是当AP中的无线连接密码被修改后，如果该移动终端设备已经连接过该AP，并且AP中还保留了该移动设备的相关信息，该移动设备可以使用IMEI进行认证，并且以IMEI为基础，重新生成加密的密钥，方便移动终端用户的连接网络，并且提供可靠的信息安全保障。其***包括两部分，分别是实现此方法的移动终端和AP设备。移动终端，用以在与网络接入点初次建立通信时发送自身设备的IMEI至所述的网络接入点以及在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至所述的网络接入点；网络接入点，用以保存移动终端对应的IMEI和MAC地址以及当原无线连接密码认证失败时对所述的移动终端进行认证。

如图1所示，本发明的实现移动终端无线认证加密的方法包括以下步骤：

(1)所述的移动终端在与网络接入点初次建立通信时发送自身设备的IMEI至所述的网络接入点；

(2)所述的网络接入点保存移动终端对应的IMEI和MAC地址；

(3)所述的移动终端在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至所述的网络接入点；

(4)所述的网络接入点根据存储的移动终端对应的IMEI和MAC地址对移动终端进行认证。

在一种较佳的实施方式中，所述的移动终端在与网络接入点初次建立通信时发送自身设备的IMEI至所述的网络接入点，具体为：

所述的移动终端在与网络接入点初次建立通信时发送包含自身设备的IMEI和当期时间戳的数据报文至所述的网络接入点且保存当期时间戳。

在一种较佳的实施方式中，所述的网络接入点保存移动终端对应的IMEI和MAC地址，具体为：

所述的网络接入点将获取的移动终端的IMEI和MAC地址与数据库中的存储数据进行比较并将未存储的移动终端对应的IMEI和MAC地址进行保存。

在一种较佳的实施方式中，所述的移动终端在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至所述的网络接入点，包括以下步骤：

(3-1)所述的移动终端发送原无线连接密码至所述的网络接入点，如果认证通过，则继续后续连接，然后结束退出，如果认证失败，则继续步骤(3-2)；

(3-2)所述的移动终端将包含自身设备的MAC地址和IMEI的认证请求报文发送至所述的网络接入点。

在一种更佳的实施方式中，所述的网络接入点根据存储的移动终端对应的IMEI和MAC地址对移动终端进行认证，具体为：

所述的网络接入点将所述的认证请求报文中的MAC地址和IMEI与数据库中存储的数据进行比较，如果一致，则通过认证，否则认证失败。

在一种更佳的实施方式中，所述的移动终端将包含自身设备的MAC地址和IMEI的认证请求报文发送至所述的网络接入点，包括以下步骤：

(3-2-1)所述的移动终端将自身设备的MAC地址和IMEI进行MD5算法并将获得的MD5值及使用的MD5算法添加到认证请求报文中；

(3-2-2)所述的移动终端将所述的认证请求报文发送至所述的网络接入点。

在一种更进一步的实施方式中，所述的网络接入点根据存储的移动终端对应的IMEI和MAC地址对移动终端进行认证，包括以下步骤：

(4-1)所述的网络接入点提取所述的认证请求报文中的MAC地址并与数据库中的MAC地址进行比较；

(4-2)所述的网络接入点采用所述的认证请求报文中的MD5算法将数据库中的MAC地址和IMEI进行MD5算法；

(4-3)所述的网络接入点将获得的MD5值与所述的认证请求报文中的MD5值进行比较，如果一致，通过认证，否则认证失败。

下面以一个具体实施例来进一步介绍本发明。

如图2所示，本发明的实现移动终端无线认证加密的方法的具体实现流程如下：

(1)带有WIFI功能的移动终端设备扫描到相应的AP设备；

(2)移动终端设备与AP进认证并进行关联，因此过程属于公知领域，本发明不进行详细描述；

(3)移动终端与AP建立通信后，向AP发送一个带有自己IMEI和当前时间戳的数据报文，同时移动终端保留该时间戳；

(4)AP在接收到移动终端发送过来带有IMEI的数据报文后，提取出IMEI和时间戳，并且从报文中获取当前移动终端的MAC地址，将MAC、IMEI与数据库中的已有条目进行比较，如未找到对应条件，则将MAC、IMEI和时间戳保存在相应的数据库中；

(5)移动终端与AP建立正常的数据通信；

如AP未修改无线连接密码时，移动终端使用正常的认证加密流程进行数据连接，当AP修改了连接密码后，其连接流程如下：

(1)带有WIFI功能的移动终端设备扫描到相应的AP设备；

(2)移动终端设备使用原来的无线连接密码进行认证，如认证通过，则继续进行后续连接，如认证不通过后，将移动设备的MAC地址与IMEI进行MD5算法，并将获得的MD5值以及使用的MD5算法通过一个特殊的认证请求报文发送给AP。

(3)AP在接收到此认证请求报文后，首先取出认证报文中的MAC地址与数据库中的MAC地址进行比较，然后使用相同的MD5算法将数据库中的MAC地址和IMEI进行MD5，并取值与报文中获得的值进行比较，如果两组比较均能找到相同的值，则回应认证通过，并继续进行加密协商。否则回应认证失败。

(4)进行加密协商时，移动终端使用的PMK(Pairwise Master Key，成对主密钥)为之前保留的时间戳与IMEI的MD5值，AP的PMK为数据库中认证通过的条目中IMEI与时间戳的MD5值，当协商通过后，可以进行正常的数据通信，如协商不通过，则断开连接。

表1为IMEI认证报文格式，属于802.11管理帧中的认证子类型，此报文用于AP修改连接认证密码后，移动终端使用原密码认证不成功时，使用IMEI进行认证的报文格式：

表1

认证类型	认证序列号	状态码	挑战内容
				2字节	2字节	2字节	32字节

表2为IMEI认证请求报文，其中报文类型为0xFF00，序列号为1，状态码保留不被认证使用，挑战内容为移动终端的MAC与IMEI生成的MD5值，此类型是该发明中自定议的认证类型，当移动终端使用原密码认证失败时，将会发送该认证报文给AP，AP在接受到此类型的认证报文时，会执行图2流程中的认证流程，并返回表3所示的响应的报文。

表2

认证类型	认证序列号	状态码	挑战内容
				0xFF00	1	保留	MD5值

表3为IMEI认证响应报文，其中AP其中报文类型为0xFF00，序列号为2，状态码为0或1，其中0为认证成功，1为认证失败，挑战内容为空。AP在接受到移动终端发送过来的自定议认证请求后，会执行图2流程中的认证流程，并返回此报文。

表3

认证类型	认证序列号	状态码	挑战内容
				0xFF00	2	0或1	无

以下两个公式为挑战内容和PMK生成算法，其中CHALLENGETEXT为算法生成的挑战内容，MAC为移动终端的无线MAC地址，IMEI为无线终端的移动设备国际识别码，PMK生成算法中的TIMESTAMP为数据库中的时间戳。

CHALLENGETEXT＝MD5(MAC，IMEI)；

PMK＝MD5(IMEI，TIMESTAMP)。

采用了该发明中的实现移动终端无线认证加密的***及方法，具有如下有益效果：

(1)当AP中的无线连接密码被修改后，如果该移动终端设备已经连接过该AP，并且AP中还保留了该移动设备的相关信息，该移动设备可以使用IMEI进行认证，并且以IMEI为基础，重新生成加密的密钥，方便移动终端用户的连接网络，提高用户使用体验，具有更广泛的应用范围；

(2)本发明的方法是对公知802.11认证加密方法的补充，不影响公知的802.11认证加密流程，当移动终端或AP中的一方不支持本发明的方法时，可以仍使用公知流程进行认证和加密；同时为了管理方便，AP管理员可以对AP中的存有MAC和IMEI等信息的数据库进行删除操作；当AP中对应的移动终端信息被删除时，可重新建产条目，并执行此方法的流程。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。

Claims (8)

1.一种实现移动终端无线认证加密的***，其特征在于，所述的***包括：

移动终端，用以在与网络接入点初次建立通信时发送自身设备的IMEI至所述的网络接入点以及在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至所述的网络接入点；

网络接入点，用以保存移动终端对应的IMEI和MAC地址以及当原无线连接密码认证失败时对所述的移动终端进行认证。

2.一种基于权利要求1所述的***实现移动终端无线认证加密的方法，其特征在于，所述的方法包括以下步骤：

(1)所述的移动终端在与网络接入点初次建立通信时发送自身设备的IMEI至所述的网络接入点；

(2)所述的网络接入点保存移动终端对应的IMEI和MAC地址；

(3)所述的移动终端在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至所述的网络接入点；

(4)所述的网络接入点根据存储的移动终端对应的IMEI和MAC地址对移动终端进行认证。

3.根据权利要求2所述的实现移动终端无线认证加密的方法，其特征在于，所述的移动终端在与网络接入点初次建立通信时发送自身设备的IMEI至所述的网络接入点，具体为：

所述的移动终端在与网络接入点初次建立通信时发送包含自身设备的IMEI和当期时间戳的数据报文至所述的网络接入点且保存当期时间戳。

4.根据权利要求2所述的实现移动终端无线认证加密的方法，其特征在于，所述的网络接入点保存移动终端对应的IMEI和MAC地址，具体为：

所述的网络接入点将获取的移动终端的IMEI和MAC地址与数据库中的存储数据进行比较并将未存储的移动终端对应的IMEI和MAC地址进行保存。

5.根据权利要求2所述的实现移动终端无线认证加密的方法，其特征在于，所述的移动终端在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至所述的网络接入点，包括以下步骤：

(3-1)所述的移动终端发送原无线连接密码至所述的网络接入点，如果认证通过，则继续后续连接，然后结束退出，如果认证失败，则继续步骤(3-2)；

(3-2)所述的移动终端将包含自身设备的MAC地址和IMEI的认证请求报文发送至所述的网络接入点。

6.根据权利要求5所述的实现移动终端无线认证加密的方法，其特征在于，所述的网络接入点根据存储的移动终端对应的IMEI和MAC地址对移动终端进行认证，具体为：

所述的网络接入点将所述的认证请求报文中的MAC地址和IMEI与数据库中存储的数据进行比较，如果一致，则通过认证，否则认证失败。

7.根据权利要求5所述的实现移动终端无线认证加密的方法，其特征在于，所述的移动终端将包含自身设备的MAC地址和IMEI的认证请求报文发送至所述的网络接入点，包括以下步骤：

(3-2-1)所述的移动终端将自身设备的MAC地址和IMEI进行MD5算法并将获得的MD5值及使用的MD5算法添加到认证请求报文中；

(3-2-2)所述的移动终端将所述的认证请求报文发送至所述的网络接入点。

8.根据权利要求7所述的实现移动终端无线认证加密的方法，其特征在于，所述的网络接入点根据存储的移动终端对应的IMEI和MAC地址对移动终端进行认证，包括以下步骤：

(4-1)所述的网络接入点提取所述的认证请求报文中的MAC地址并与数据库中的MAC地址进行比较；

(4-2)所述的网络接入点采用所述的认证请求报文中的MD5算法将数据库中的MAC地址和IMEI进行MD5算法；

(4-3)所述的网络接入点将获得的MD5值与所述的认证请求报文中的MD5值进行比较，如果一致，通过认证，否则认证失败。