CN1595894A - 一种无线局域网接入认证的实现方法 - Google Patents
一种无线局域网接入认证的实现方法 Download PDFInfo
- Publication number
- CN1595894A CN1595894A CN 03159178 CN03159178A CN1595894A CN 1595894 A CN1595894 A CN 1595894A CN 03159178 CN03159178 CN 03159178 CN 03159178 A CN03159178 A CN 03159178A CN 1595894 A CN1595894 A CN 1595894A
- Authority
- CN
- China
- Prior art keywords
- client
- message
- password
- otp
- equipment end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线局域网接入认证的实现方法,包括:a)当前无线局域网用户终端作为客户端,通过设备端将自身的用户标识信息发送给认证服务器,发起接入认证;b)认证服务器根据所收到的用户标识信息,判断是否需要获取一次性密码(OTP),如果是,则认证服务器随机生成本次认证所需的OTP,然后将所生成的密码传输给客户端,同时向设备端发送拒绝接入报文,执行步骤c;否则,进行正常的接入认证,结束当前流程;c)收到密码的客户端再次向设备端发起认证流程,该收到密码的客户端将自身的用户名和所收到的密码通过设备端发送给认证服务器,完成自身的无线局域网接入认证。该方法可提高WLAN接入认证的安全性和可靠性。
Description
技术领域
本发明涉及接入认证技术,特别是指一种在无线局域网中实现一次性密码接入认证的方法。
背景技术
随着用户对无线接入速率的要求越来越高,无线局域网(WLAN,WirelessLocal Area Network)应运而生,它能在较小范围内提供高速的无线数据接入,是目前IT行业最热门的技术之一,也是现在最流行的无线接入方式。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE 802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
目前的WLAN网络主要采用802.1X系列协议,所谓802.1X协议是2001年6月电气和电子工程师协会(IEEE)标准化组织正式通过的基于端口的网络访问控制协议。IEEE 802.1X定义了基于端口的网络接入控制协议,其中,端口可以是物理端口,也可以是逻辑端口。
IEEE 802.1X的体系结构如图1所示,802.1X***共有三个实体:客户端***(Supplicant System)、设备端***(Authenticator System)、认证服务器***(Authentication Server System)。在客户端进一步包括客户端端口状态实体(PAE),在设备端进一步包括设备端***提供的服务和设备端端口状态实体,在认证服务器***中进一步包括认证服务器;该认证服务器与设备端的端口状态实体相连,通过扩展认证协议(EAP)来交换设备端和认证服务器间的认证信息,客户端的端口状态实体直接连到局域网(LAN)上,设备端的服务和端口状态实体分别通过受控端口(Controlled Port)和非受控端口连接于局域网上,客户端和设备端通过客户端和设备端间的认证协议(EAPoL)进行通信。其中,Controlled Port负责控制网络资源和业务的访问。
如图1所示,设备端***的内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port),该非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可保证随时接收和发送EAPoL协议帧;而受控端口只有在认证通过,即授权状态下才打开,用于传递网络资源和服务,也就是说,在认证未通过时该受控端口为未授权端口,受控端口可配置为双向受控、仅输入受控两种方式,以适应不同应用环境的需要。
基于图1所示的结构,IEEE 802.1X认证的基本实现过程如图2所示,包括以下步骤:
步骤201:当用户登录网络时,客户端收到用户登录信息后,向设备端发送认证起始报文EAPoL-Start,触发认证过程。这里,如果客户端是动态分配地址的,认证起始报文也可能是DHCP请求报文;如果客户端是手工配置地址的,认证起始报文还可能是ARP请求报文。
步骤202~203:设备端收到客户端发来的EAPoL-Start报文后,向客户端发出请求用户名报文EAP-Request[Identity],请求用户名;客户端收到后,将用户名通过响应用户名报文EAP-Response[Identity]发给设备端。
步骤204:设备端收到客户端的EAP-Response[Identity]报文后,通过接入请求报文Access-Request(EAP-Response[Identity])将用户名透传给认证服务器。
步骤205:认证服务器收到接入请求报文后,向设备端发出请求用户密码报文EAP-Request[MD5 Challenge],并通过密码请求报文Access-Challenge(EAP-Request[MD5 Challenge])透传给设备端,向客户端进行MD5质询。
步骤206~208:设备端收到认证服务器发来的EAP-Request[MD5 Challenge]报文后,通过EAP-Request[MD5 Challenge]透传给客户端;客户端收到后,将密码通过响应用户密码报文EAP-Response[MD5 Challenge]发给设备端;设备端再通过Access-Request(EAP-Response[MD5 Challenge])报文透传给认证服务器。
步骤209~210:认证服务器根据收到的报文进行认证,然后将认证结果通过Access-Accept或Access-Reject报文发送给设备端;设备端收到后,再将认证结果通过EAP-Success或EAP-Failure报文透传给客户端,通知用户认证成功或失败。
现有技术中,从个人终端的操作方式来看,WLAN主要的接入认证方式有两种:基于EAP-SIM的认证方式和基于用户名/密码的认证方式,其中EAP-SIM方式是利用用户识别模块(SIM)卡,通过IEEE 802.1X接入实现统一认证、计费。在基于用户名/密码的方式中,又分为两种方式:固定的用户名/密码和一次性密码(OTP,One Time Password)方式,其中OTP方式是指每次采用不同的密码进行接入认证。
通常,WLAN接入认证采用固定用户名/密码方式,该方式是指用户通过开户向运营商申请一个用户名/密码、或者通过购买预付费卡获得一个固定的用户名/密码,然后进行802.1x客户端接入认证。在这种方式中,用户在一段时间内上网都是用同一个用户名/密码。如此,密码容易被盗取,致使安全性降低。
发明内容
有鉴于此,本发明的主要目的在于提供一种无线局域网接入认证的实现方法,可提高WLAN接入认证的安全性和可靠性。
为达到上述目的,本发明的技术方案是这样实现的:
一种无线局域网接入认证的实现方法,该方法包括以下步骤:
a.当前无线局域网用户终端作为客户端,通过设备端将自身的用户标识信息发送给认证服务器,发起接入认证;
b.认证服务器根据所收到的用户标识信息,判断是否需要获取一次性密码OTP,如果是,则认证服务器随机生成本次认证所需的OTP,然后将所生成的密码传输给客户端,同时向设备端发送拒绝接入报文,执行步骤c;否则,进行正常的接入认证,结束当前流程;
c.收到密码的客户端再次向设备端发起认证流程,该收到密码的客户端将自身的用户名和所收到的密码通过设备端发送给认证服务器,完成自身的无线局域网接入认证。
上述方案中,当前无线局域网用户终端作为客户端以802.1X方式发起接入认证;
则步骤a为:当前无线局域网用户终端作为客户端向设备端发送认证起始报文,设备端收到后向客户端请求用户名,客户端向设备端返回携带有用户标识字段的响应报丈,设备端收到后,将该响应报丈透传给认证服务器;
步骤b为:认证服务器对所收到的响应报文进行解析,并根据解析出的用户标识字段判断是否需要获取OTP,如果是,则认证服务器随机生成本次认证所需的OTP,然后将所生成的密码传输给客户端,同时向设备端发送拒绝接入报文,执行步骤c;否则,进行正常的802.1X认证,结束当前流程;
步骤c为:收到密码的客户端再次向设备端发送认证起始报丈,重新发起802.1X认证流程,该收到密码的客户端将自身的用户名和所收到的密码通过设备端发送给认证服务器,完成自身的无线局域网接入认证。
上述方案中,当前无线局域网用户终端作为客户端以PPPoE方式发起接入认证;则步骤a为:当前无线局域网用户终端作为客户端,先通过PPPoE发现阶段报文交互找到当前可用的设备端,再将自身的用户标识信息通过所发现的可用设备端发送给认证服务器。
基于802.1X进行认证时,步骤a中所述客户端向设备端发送响应报文为:客户端向设备端发送表示需要获取OTP的响应报文。其中,步骤a中客户端向设备端发送以用户名@OTP为用户标识字段的响应报丈,则步骤b中所述判断为:认证服务器判断解析出的域名部分是否为OTP,如果是,则需要获取OTP;否则,不需要获取OTP,进行正常的802.1X认证。
基于802.1X进行认证时,步骤b进一步包括:认证服务器在生成OTP之前,先根据所收到响应报文中的用户名信息,从归属位置寄存器中获取当前客户端的签约信息,并根据所获得的签约信息判断当前客户端是否具有WLAN业务权限,如果有,再随机生成本次认证所需的OTP;否则,向设备端返回拒绝接入消息。
上述方案中,步骤b中所述将生成密码传输给客户端为:认证服务器将所生成的密码以短消息方式发送给当前客户端对应的手机用户。所述以短消息方式发送进一步包括:认证服务器将所生成的密码通过短消息点对点协议打包成短消息,提交给短消息服务中心,再由短消息服务中心将含有密码的短消息发送给当前客户端对应的手机用户。那么,该方法进一步包括:短消息服务中心收到含有密码的短消息后,向认证服务器回送表示成功接收短消息的响应报文。
上述方案中,步骤b所述随机生成OTP为:认证服务器根据解析出的用户名随机生成本次认证所需的OTP。其中,所述用户名为当前无线局域网用户终端的移动台国际ISDN号码。
上述方案中,步骤b中所述的拒绝接入报文中携带有本次失败的原因。其中,所述拒绝接入报文中失败原因的携带格式为:[OTP]Error code=失败原因对应的取值;Message=失败原因说明。步骤b中设备端收到携带有失败原因的拒绝接入报文后,根据具体的失败原因向客户端发送响应的失败原因提示。
该方法进一步包括:为每个生成的OTP设置一个使用有效期。则步骤c中收到密码的客户端在该密码对应的使用有效期内随时向设备端发送接入认证请求,触发接入认证流程。
该方法进一步包括:预先建立认证服务器与短消息服务中心的虚连接。
因此,本发明所提供的无线局域网接入认证的实现方法,将OTP和WLAN相结合,在WLAN的组网方式中用OTP认证方式实现用户的上网控制,通过IEEE 802.1X来实现OTP取密码、认证全流程,在一定的时限内保证密码有效,并使用户每次上网所采用的密码均不相同,从而减少了密码被盗的可能性,为WLAN接入认证提供了一种安全可靠性高、方便易用的认证模式,更有效地保证了用户利益。
另外,采用一次性密码的实现方式,不仅操作灵活、易于实现;而且,弥补了802.1X只能通过固定用户名/密码方式进行认证的缺陷,丰富了WLAN的接入认证手段。并且,通过IEEE 802.1X接入方式实现OTP,充分利用了IEEE802.1X基于端口认证的优势和安全度高的特点,切实可行。
附图说明
图1为IEEE 802.1X的体系结构示意图;
图2为802.1X接入认证的实现流程图;
图3为本发明实现OTP接入认证一实施例的WLAN组网结构示意图;
图4为本发明中基于802.1X的OTP接入认证实现的流程图。
具体实施方式
本发明的核心思想是:在采用OTP方式实现WLAN的接入认证时,先利用802.1X的接入过程获取本次认证所需的一次性密码;然后,再利用所获取的密码进行真正的802.1X认证过程,完成WLAN的接入认证。也就是说,本发明通过两次802.1X接入过程实现了OTP的密码获取和接入认证的全过程。这里,每次的一次性密码由认证服务器随机生成。
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图3为本发明中以OTP方式实现WLAN接入认证的一实施例的组网结构示意图,如图3所示,接入点(AP)为WLAN业务网络中的小型无线基站设备,用于完成802.11b系列标准的无线接入功能;接入控制设备(AC),用于控制用户接入WLAN网络;认证服务器(AS),用于对用户进行认证、授权和计费;短消息服务中心(SMSC),用于将OTP密码通过短消息方式发送给用户;归属位置寄存器(HLR),用于存储用户信息;计费网关(CG),用来根据所收到的通信信息生成计费话单;计费中心(BOSS),用于对用户进行计费,主要是接收和记录网络传来的用户计费信息,并进行统计和控制,其中用户计费信息可以包括在线计费用户的在线费用信息。
通常,在无线局域网中,WLAN用户终端通过自身当前所属的AP接入WLAN网络,并经由AC到AS上进行接入认证,认证通过后,即可在WLAN中进行通信。对于802.1X接入认证来说,WLAN用户终端就是客户端,AC相当于设备端,AS相当于认证服务器。
本发明先通过802.1X认证过程中,WLAN用户终端STA响应用户名报文请求,向AC发送自身用户名的步骤,利用特殊的格式通知AC要获取一次性密码;AS随机生成本次、当前用户终端的一次性密码后,通过安全的方式将所生成的密码通知当前发起接入认证的WLAN用户,比如:通过短消息方式;同时,AS还通过发送拒绝接入消息结束本次认证过程;当前用户收到一次性密码后重新发起802.1X认证过程,完成WLAN的接入认证。
基于图3所示的网络结构,以将一次性密码以短消息方式发送给WLAN用户为例,说明本发明的具体实现流程。本实施例中,由于采用短消息发送一次性密码方式,所以在AS正常运行后,首先要建立与SMSC之间的发送虚连接,具体过程是:AS向SMSC传送发送绑定报文bind_transmitter,请求建立AS与SMSC之间的发送虚连接;SMSC收到后,则向AS回送发送绑定响应报文bind_transmitter_resp,表示建立虚连接成功。
如图4所示,本实施例以OTP方式实现WLAN接入认证具体包括:
步骤401~403:与现有技术中的步骤201~203类似,不同的是:用户登录时,在客户端上输入MSISDN@OTP并通过AP向AC发送EAPoL-Start,发起认证过程;然后,客户端在收到AC发来的请求用户名报文后,在用户名响应报文中将MSISDN@OTP发送给AC。
这里,MSISDN@OTP为用户标识字段,也就是用户标识信息,包括用户名和域名两部分,其中MSISDN为用户名部分,OTP为域名部分,客户端以OTP为域名来表示需要获取一次性密码,当然,认证***也可以定义其它特殊的域名来表示。而且,认证***还可以采用其它形式来表示需要获取一次性密码,比如:通过扩展消息属性、字段,增加表示获取密码的字段等方式。
步骤404:AC在收到用户的EAP-Response[Identify]报文后,将该EAP-Response[Identify]报文进行封装后发送给AS,即发接入请求报文Access-Request给AS。
这里,假定设备端AC与认证服务器AS之间通过EAPoR(EAP over Radius)协议进行通信,则AC将EAP-Response[Identify]报丈封装在用户远程拨号认证服务(RADIUS)报文中,通过EAPoR报文形式发送给AS。
步骤405~406:AS收到接入请求报文后,解析出报文中的用户标识字段,并根据其中“@”后的域名部分确定是否为OTP取密码流程,如果“@”后为“OTP”,则当前为OTP取密码流程,否则,为正常的802.1X认证过程,按现有技术的处理流程完成认证即可。
如果是OTP取密码流程,则AS可根据需要直接生成本次的一次性密码,此种情况下,直接执行步骤407;或者,AS在进行WLAN业务权限判定后再确定是否生成一次性密码,这种情况下,AS先根据用户标识字段中的MSISDN向HLR发起取用户国际移动用户标识(IMSI)的消息;AS获取用户IMSI后,再向HLR发送取用户签约数据报文,要求获取该用户的签约信息,以检查该用户的WLAN业务属性,进而判断该用户是否有权限进行OTP业务。这里,如果当前用户终端不具备WLAN业务权限,则AS会向AC发送拒绝接入消息,AC再向当前用户终端发送接入失败的报文,结束本次接入认证流程。
步骤407~408:AS根据解析出的、用户的MSISDN随机生成一次性密码Key,然后,AS将生成的密码Key通过短消息点对点协议(SMPP)打包成短消息的形式,通过提交短消息报文Submit_SM将密码Key发送给SMSC;SMSC收到后,向AS发送短消息提交响应报文Submit_SM_resp,对Submit_SM消息进行响应,表示成功收到短消息;之后,SMSC再通过短消息向当前用户的手机发送AS生成的密码Key。
本步骤中,AS也可以不根据用户的MSISDN生成一次性密码,AS可以根据任意的密码生成算法,比如:利用随机数、随机种子加上某种现有的加密算法获得一个加密密钥,将该密钥作为一次性密码。另外,AS也可以通过其它协议方式将短消息打包,提交给SMSC,比如:通过七号信令方式打包。
步骤409~410:当AS成功的将密码发给短消息中心后,AS向AC发送拒绝接入报文Access-Reject,该报文中可以携带本次失败的原因。
为了实现失败原因值的下发,可以扩展Radius标准消息的属性Reply-Message,按照格式“[OTP]Error code=<code>;Message=<string>”定义一系列相关的失败原因,其中,Error code为失败原因对应的取值,Message是指该失败原因值的含义,即表示何种失败,AC可以根据code值的不同向用户输出不同的提示。
AC在收到AS下发的Access-Reject报文后,解析出具体的失败原因,然后通知用户。在本实施例中,AC在收到AS的拒绝接入报文Access-Reject后,剥离出其中的失败报文EAP-Failure,发送给客户端,同时,AC可以根据失败原因向用户提示“密码已通过短消息发送”。
上述步骤401~410即为OTP密码获取流程,如图4中虚线框内步骤所示,获取密码后,当前用户终端即可使用所获得的密码进行接入认证,即执行步骤411~422。获取密码后,当前用户终端可以立即进行接入认证,也可以在间隔一段时间后再进行接入认证,因此可以对每个一次性密码设置一个使用有效期,有效期的值可实时设定,也可预先设定一个默认值,比如:设有效期默认值为半小时,那么,当前用户终端在半小时内随时都可以利用所获取的一次性密码发起一次802.1X认证。
步骤411:用户在获取一次性密码后,在客户端上输入MSISDN@Simple以及从手机中得到的密码,再通过EAPoL_Start报文重新发起新的一次802.1x接入认证流程。这里,采用Simple作为域名只是为了区别于密码获取的认证过程,说明本次为正常认证流程,实际上该域名可根据运营商需要任意设置。
步骤412~414:AC收到认证起始报文EAPoL_Start后,向客户端发送EAP-Request[Identity],要求客户端将用户名Identity送上来;客户端响应AC请求,发送EAP-Response[Identity],将MSISDN@Simple发送给AC;AC收到后,再将EAP-Response[Identify]报文封装在RADIUS报文里,通过EAPoR报文形式发送给AS。
步骤415~417:AS向AC发送密码请求报文Access-Challenge(EAP-Request[MD5 Challenge]),请求密码进行认证;AC收到密码请求报文后,剥离出其中的EAP-Request[MD5 Challenge]报文,发送给客户端,请求MD5认证;客户端收到EAP-Request[MD5 Challenge]报文后,按照MD5加密算法对用户输入的密码,即本次采用的一次性密码Key进行加密,然后通过密码响应报文EAP-Response[MD5 Challenge]将密码回应给AC。
步骤418~420:AC收到客户端响应后,将EAP-Response[MD5 Challenge]报文封装在Radius请求报文里发送给AS,作为Access-Challenge(EAP-Request[MD5 Challenge])的响应;AS收到Access-Request(EAP-Response[MD5Challenge])报文后,按照同样的MD5加密算法对曾产生的、对应当前用户终端的一次性密码Key进行加密,然后判断加密后的结果是否与从报文中解析出的密码相同,如果相等,则AS向AC发送认证成功报文Access-Accept;否则,发送认证拒绝报文Access-Reject;
AC如果收到Access-Accept报文,则向客户端发送认证成功报文EAP-Success,标识接入认证成功;否则,向客户端发送认证失败报文EAP-Failure,标识接入认证失败。
步骤421~422:接入成功后,客户端进行DHCP,并开始进行计费。当然,WLAN还可以通过PPPoE方式实现OTP的接入认证,该方式以当前用户终端作为PPPoE客户端,通过输入用户的手机号申请密码,认证服务器通过短消息将所生成的密码发送到提出申请用户的手机上,然后获取密码的用户再通过输入从手机中获取的密码进行接入认证。其中,PPPoE具体要经过两个过程进行接入:发现阶段和会话阶段,发现阶段可分为四步,其实这个过程也是PPPOE四种数据报文的交换的一个过程。当完成这四步后,用户主机与设备端双方就能获知对方的MAC地址和唯一的会话ID号,从而进入到会话阶段;会话阶段就是典型的PPP过程,在链路协商的时候,先与设备端协商认证方式,比如:采用PAP或CHAP认证方式,然后设备端通过Radius报文将用户的标识信息,如MSISDN@domain信息送到认证服务器,实现整个过程。
以上所述,仅为本发明的较佳实施例而已,并非用来限定本发明的保护范围。
Claims (17)
1、一种无线局域网接入认证的实现方法,其特征在于,该方法包括以下步骤:
a.当前无线局域网用户终端作为客户端,通过设备端将自身的用户标识信息发送给认证服务器,发起接入认证;
b.认证服务器根据所收到的用户标识信息,判断是否需要获取一次性密码OTP,如果是,则认证服务器随机生成本次认证所需的OTP,然后将所生成的密码传输给客户端,同时向设备端发送拒绝接入报文,执行步骤c;否则,进行正常的接入认证,结束当前流程;
c.收到密码的客户端再次向设备端发起认证流程,该收到密码的客户端将自身的用户名和所收到的密码通过设备端发送给认证服务器,完成自身的无线局域网接入认证。
2、根据权利要求1所述的方法,其特征在于,当前无线局域网用户终端作为客户端以802.1X方式发起接入认证;
则步骤a为:当前无线局域网用户终端作为客户端向设备端发送认证起始报文,设备端收到后向客户端请求用户名,客户端向设备端返回携带有用户标识字段的响应报文,设备端收到后,将该响应报文透传给认证服务器;
步骤b为:认证服务器对所收到的响应报文进行解析,并根据解析出的用户标识字段判断是否需要获取OTP,如果是,则认证服务器随机生成本次认证所需的OTP,然后将所生成的密码传输给客户端,同时向设备端发送拒绝接入报文,执行步骤c;否则,进行正常的802.1X认证,结束当前流程;
步骤c为:收到密码的客户端再次向设备端发送认证起始报文,重新发起802.1X认证流程,该收到密码的客户端将自身的用户名和所收到的密码通过设备端发送给认证服务器,完成自身的无线局域网接入认证。
3、根据权利要求1所述的方法,其特征在于,当前无线局域网用户终端作为客户端以PPPoE方式发起接入认证;
则步骤a为:当前无线局域网用户终端作为客户端,先通过PPPoE发现阶段报文交互找到当前可用的设备端,再将自身的用户标识信息通过所发现的可用设备端发送给认证服务器。
4、根据权利要求2所述的方法,其特征在于,步骤a中所述客户端向设备端发送响应报文为:客户端向设备端发送表示需要获取OTP的响应报文。
5、根据权利要求4所述的方法,其特征在于,步骤a中客户端向设备端发送以用户名@OTP为用户标识字段的响应报文,则步骤b中所述判断为:认证服务器判断解析出的域名部分是否为OTP,如果是,则需要获取OTP;否则,不需要获取OTP,进行正常的802.1X认证。
6、根据权利要求2所述的方法,其特征在于,步骤b进一步包括:认证服务器在生成OTP之前,先根据所收到响应报文中的用户名信息,从归属位置寄存器中获取当前客户端的签约信息,并根据所获得的签约信息判断当前客户端是否具有WLAN业务权限,如果有,再随机生成本次认证所需的OTP;否则,向设备端返回拒绝接入消息。
7、根据权利要求1或2所述的方法,其特征在于,步骤b中所述将生成密码传输给客户端为:认证服务器将所生成的密码以短消息方式发送给当前客户端对应的手机用户。
8、根据权利要求7所述的方法,其特征在于,所述以短消息方式发送进一步包括:认证服务器将所生成的密码通过短消息点对点协议打包成短消息,提交给短消息服务中心,再由短消息服务中心将含有密码的短消息发送给当前客户端对应的手机用户。
9、根据权利要求8所述的方法,其特征在于,该方法进一步包括:短消息服务中心收到含有密码的短消息后,向认证服务器回送表示成功接收短消息的响应报文。
10、根据权利要求1或2所述的方法,其特征在于,步骤b所述随机生成OTP为:认证服务器根据解析出的用户名随机生成本次认证所需的OTP。
11、根据权利要求10所述的方法,其特征在于,所述用户名为当前无线局域网用户终端的移动台国际ISDN号码。
12、根据权利要求1或2所述的方法,其特征在于,步骤b中所述的拒绝接入报文中携带有本次失败的原因。
13、根据权利要求12所述的方法,其特征在于,所述拒绝接入报文中失败原因的携带格式为:[OTP]Error code=失败原因对应的取值;Message=失败原因说明。
14、根据权利要求12所述的方法,其特征在于,步骤b中设备端收到携带有失败原因的拒绝接入报文后,根据具体的失败原因向客户端发送响应的失败原因提示。
15、根据权利要求1或2所述的方法,其特征在于,该方法进一步包括:为每个生成的OTP设置一个使用有效期。
16、根据权利要求15所述的方法,其特征在于,步骤c中收到密码的客户端在该密码对应的使用有效期内随时向设备端发送接入认证请求,触发接入认证流程。
17、根据权利要求1或2所述的方法,其特征在于,该方法进一步包括:预先建立认证服务器与短消息服务中心的虚连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031591787A CN100334850C (zh) | 2003-09-10 | 2003-09-10 | 一种无线局域网接入认证的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031591787A CN100334850C (zh) | 2003-09-10 | 2003-09-10 | 一种无线局域网接入认证的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1595894A true CN1595894A (zh) | 2005-03-16 |
| CN100334850C CN100334850C (zh) | 2007-08-29 |
Family
ID=34660600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031591787A Expired - Lifetime CN100334850C (zh) | 2003-09-10 | 2003-09-10 | 一种无线局域网接入认证的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100334850C (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007045152A1 (fr) * | 2005-10-19 | 2007-04-26 | Huawei Technologies Co., Ltd. | Procede d’acces d’une station de base par une station d’abonne sous la condition de multiples stations de base |
| WO2008037144A1 (fr) * | 2006-09-22 | 2008-04-03 | Wen Zhang | Procédé et système de communication d'empreinte de demande fondés sur une vérification de crédit |
| CN101237325B (zh) * | 2008-03-12 | 2010-10-27 | 杭州华三通信技术有限公司 | 以太网接入认证方法和下线认证方法以及以太网设备 |
| CN101895831A (zh) * | 2009-05-20 | 2010-11-24 | 中国电信股份有限公司 | 一种无线局域网认证的实现方法和通信终端 |
| CN1805441B (zh) * | 2005-11-23 | 2011-01-05 | 西安电子科技大学 | Wlan网络集成认证体系结构及实现结构层的方法 |
| CN102026195A (zh) * | 2010-12-17 | 2011-04-20 | 北京交通大学 | 基于一次性口令的移动终端身份认证方法和*** |
| CN102255904A (zh) * | 2011-07-07 | 2011-11-23 | 上海顶竹通讯技术有限公司 | 一种通信网络以及对终端的认证方法 |
| CN103379485A (zh) * | 2012-04-24 | 2013-10-30 | 中国联合网络通信集团有限公司 | 无线接入设备及其加密处理方法 |
| CN102088702B (zh) * | 2009-12-03 | 2014-02-26 | 中国电信股份有限公司 | 用户驻地网关接入无线网络的方法和*** |
| CN103763321A (zh) * | 2014-01-22 | 2014-04-30 | 天津大学 | Wlan网络中一种基于认证方法的嗅探防御方法 |
| CN105101191A (zh) * | 2014-05-23 | 2015-11-25 | 宇龙计算机通信科技(深圳)有限公司 | Wlan安全机制设置的方法及装置 |
| CN105682093A (zh) * | 2014-11-20 | 2016-06-15 | 中兴通讯股份有限公司 | 无线网络接入方法及接入装置和客户端 |
| CN106169989A (zh) * | 2016-05-19 | 2016-11-30 | 成都逸动无限网络科技有限公司 | 一种认证网关 |
| WO2016189357A1 (en) * | 2015-05-28 | 2016-12-01 | Pismo Labs Technology Limited | Methods and systems for printing messages |
| CN107659935A (zh) * | 2017-11-03 | 2018-02-02 | 迈普通信技术股份有限公司 | 一种认证方法、认证服务器、网管***及认证*** |
| CN110535696A (zh) * | 2019-08-21 | 2019-12-03 | 新华三技术有限公司合肥分公司 | 网络设备配置方法、控制器及网络设备 |
| CN116016725A (zh) * | 2023-03-24 | 2023-04-25 | 深圳开鸿数字产业发展有限公司 | 信息传输方法、计算机设备及存储介质 |
| WO2024021408A1 (zh) * | 2022-07-26 | 2024-02-01 | 浙江中控技术股份有限公司 | 一种控制设备准入的方法、装置及相关产品 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2379040A (en) * | 2001-08-22 | 2003-02-26 | Int Computers Ltd | Controlling user access to a remote service by sending a one-time password to a portable device after normal login |
| JP2003092639A (ja) * | 2001-09-18 | 2003-03-28 | Denso Corp | ダウンロード方法 |
| JP2003186837A (ja) * | 2001-12-19 | 2003-07-04 | Ntt Advanced Technology Corp | ワンタイムパスワード認証装置及び方法、ならびにその認証プログラム |
| CN1435985A (zh) * | 2002-01-30 | 2003-08-13 | 鸿联九五信息产业股份有限公司 | 动态密码安全***及动态密码生成方法 |
| CN1414731A (zh) * | 2002-04-11 | 2003-04-30 | 深圳汇丰信息技术开发有限公司 | 一种动态口令认证方法及其*** |
-
2003
- 2003-09-10 CN CNB031591787A patent/CN100334850C/zh not_active Expired - Lifetime
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100428853C (zh) * | 2005-10-19 | 2008-10-22 | 华为技术有限公司 | 多基站环境下用户站接入基站的控制方法 |
| WO2007045152A1 (fr) * | 2005-10-19 | 2007-04-26 | Huawei Technologies Co., Ltd. | Procede d’acces d’une station de base par une station d’abonne sous la condition de multiples stations de base |
| US8185106B2 (en) | 2005-10-19 | 2012-05-22 | Huawei Technologies Co., Ltd. | Method of accessing base station by subscriber station under the condition of multiple base stations |
| CN1805441B (zh) * | 2005-11-23 | 2011-01-05 | 西安电子科技大学 | Wlan网络集成认证体系结构及实现结构层的方法 |
| WO2008037144A1 (fr) * | 2006-09-22 | 2008-04-03 | Wen Zhang | Procédé et système de communication d'empreinte de demande fondés sur une vérification de crédit |
| CN101237325B (zh) * | 2008-03-12 | 2010-10-27 | 杭州华三通信技术有限公司 | 以太网接入认证方法和下线认证方法以及以太网设备 |
| CN101895831A (zh) * | 2009-05-20 | 2010-11-24 | 中国电信股份有限公司 | 一种无线局域网认证的实现方法和通信终端 |
| CN101895831B (zh) * | 2009-05-20 | 2014-06-25 | 中国电信股份有限公司 | 一种无线局域网认证的实现方法和通信终端 |
| CN102088702B (zh) * | 2009-12-03 | 2014-02-26 | 中国电信股份有限公司 | 用户驻地网关接入无线网络的方法和*** |
| CN102026195A (zh) * | 2010-12-17 | 2011-04-20 | 北京交通大学 | 基于一次性口令的移动终端身份认证方法和*** |
| CN102026195B (zh) * | 2010-12-17 | 2013-05-15 | 北京交通大学 | 基于一次性口令的移动终端身份认证方法和*** |
| CN102255904A (zh) * | 2011-07-07 | 2011-11-23 | 上海顶竹通讯技术有限公司 | 一种通信网络以及对终端的认证方法 |
| CN102255904B (zh) * | 2011-07-07 | 2015-04-22 | 上海顶竹通讯技术有限公司 | 一种通信网络以及对终端的认证方法 |
| CN103379485A (zh) * | 2012-04-24 | 2013-10-30 | 中国联合网络通信集团有限公司 | 无线接入设备及其加密处理方法 |
| CN103763321A (zh) * | 2014-01-22 | 2014-04-30 | 天津大学 | Wlan网络中一种基于认证方法的嗅探防御方法 |
| CN105101191A (zh) * | 2014-05-23 | 2015-11-25 | 宇龙计算机通信科技(深圳)有限公司 | Wlan安全机制设置的方法及装置 |
| CN105101191B (zh) * | 2014-05-23 | 2019-03-22 | 宇龙计算机通信科技(深圳)有限公司 | Wlan安全机制设置的方法及装置 |
| CN105682093A (zh) * | 2014-11-20 | 2016-06-15 | 中兴通讯股份有限公司 | 无线网络接入方法及接入装置和客户端 |
| WO2016189357A1 (en) * | 2015-05-28 | 2016-12-01 | Pismo Labs Technology Limited | Methods and systems for printing messages |
| GB2542448A (en) * | 2015-05-28 | 2017-03-22 | Pismo Labs Technology Ltd | Methods and systems for printing messages |
| CN106169989A (zh) * | 2016-05-19 | 2016-11-30 | 成都逸动无限网络科技有限公司 | 一种认证网关 |
| CN107659935A (zh) * | 2017-11-03 | 2018-02-02 | 迈普通信技术股份有限公司 | 一种认证方法、认证服务器、网管***及认证*** |
| CN110535696A (zh) * | 2019-08-21 | 2019-12-03 | 新华三技术有限公司合肥分公司 | 网络设备配置方法、控制器及网络设备 |
| WO2024021408A1 (zh) * | 2022-07-26 | 2024-02-01 | 浙江中控技术股份有限公司 | 一种控制设备准入的方法、装置及相关产品 |
| CN116016725A (zh) * | 2023-03-24 | 2023-04-25 | 深圳开鸿数字产业发展有限公司 | 信息传输方法、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100334850C (zh) | 2007-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2003243680B2 (en) | Key generation in a communication system | |
| EP1540878B1 (en) | Linked authentication protocols | |
| CN100334850C (zh) | 一种无线局域网接入认证的实现方法 | |
| US8094821B2 (en) | Key generation in a communication system | |
| US8630414B2 (en) | Inter-working function for a communication system | |
| US20060129807A1 (en) | Wireless authentication protocol | |
| WO2011017924A1 (zh) | 无线局域网的认证方法、***、服务器和终端 | |
| WO2006024969A1 (en) | Wireless local area network authentication method | |
| JP2007525731A (ja) | 既存のwlanパブリックアクセス基盤に対してsimベースのローミングを提供する方法及びシステム | |
| WO2004102884A1 (fr) | Procede d'authentification par reseau local radio | |
| CN106921965A (zh) | 一种wlan网络中实现eap认证的方法 | |
| CN1567868A (zh) | 基于以太网认证***的认证方法 | |
| CN102487506B (zh) | 一种基于wapi协议的接入认证方法、***和服务器 | |
| CN101272297B (zh) | 一种WiMAX网络用户EAP认证方法 | |
| CN101925058B (zh) | 一种身份认证的方法、***和鉴别器实体 | |
| CN101742502A (zh) | 一种实现wapi认证的方法、***及设备 | |
| KR100667186B1 (ko) | 무선 이동 단말의 인증 시스템 구현 장치 및 방법 | |
| CN1706150A (zh) | 一种实现高速率分组数据业务认证的方法 | |
| KR100459935B1 (ko) | 공중 무선 랜 서비스 망에서의 사용자 인증방법 | |
| Asokan et al. | Man-in-the-middle in tunnelled authentication | |
| Guo | A New Authenticator | |
| Lee | Secure authentication and accounting mechanism on WLAN with interaction of mobile message service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20070829 |
|
| CX01 | Expiry of patent term |