TWI756439B - 入網認證方法、裝置及系統 - Google Patents

Abstract

本申請實施例提供一種入網認證方法、裝置及系統。入網認證方法主要包括：由入網管理客戶端利用終端設備的設備ID加密得到使用者名，並利用設備ID和時間步長內的時間值加密得到動態密碼，使得終端設備以所述使用者名和動態密碼進行入網認證。設備ID由認證伺服器為終端設備唯一分配，所以對終端設備具有身分標識作用，這使得入網認證可不依賴於數位證書，在滿足入網安全性需求的同時，解決了終端設備因不支援或無法使用數位證書導致無法完成入網認證的問題。

Description

入網認證方法、裝置及系統

本申請係有關網路技術領域，尤其是一種入網認證方法、裝置及系統。

隨著無線區域網路(Wireless Local Area Networks, WLAN)的廣泛應用，為了解決WLAN的使用者接入認證問題，出現了網路准入控制(Network Admission Control, NAC)體系。NAC體系能夠對接入WLAN的終端進行嚴格、高細粒度的管控，保證合法以及安全的終端入網，降低WLAN的安全風險。 　　802.1X是NAC體系常用的入網認證技術。802.1X採用的可擴展身分驗證協議(Extensible Authentication Protocol, EAP)認證方式包括：EAP-MD5、EAP-PEAP、EAP-TLS、EAP-TTLS以及EAP-LEAP。其中，EAP-TLS認證方式是一種基於證書的雙向認證方式，其在安全性、實用性等方面都佔據優勢，因此成為眾多企業首選的入網認證方式。 　　EAP-TLS認證方式需要使用數位證書，來驗證設備身分。但在實際場景中，特別是在終端設備一側，經常出現不支援或無法使用數位證書等問題，造成無法完成入網認證。因此，需要一種既能兼容各種設備，又能滿足設備識別、安全性等需求的入網認證方案。

本申請的多個方面提供一種入網認證方法、裝置及系統，用以對終端設備進行入網認證，滿足設備識別、安全性等需求，同時解決設備兼容問題。 　　本申請實施例提供一種入網認證方法，包括： 　　根據終端設備的入網指令，獲取所述終端設備的設備ID以及由所述設備ID加密得到的使用者名，所述設備ID是認證伺服器為所述終端設備產生的； 　　利用與所述認證伺服器約定的種子密鑰對所述設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼； 　　將所述使用者名和所述動態密碼提供給所述終端設備，以供所述終端設備產生入網認證請求併發往所述認證伺服器進行入網認證。 　　本申請實施例還提供一種入網認證方法，包括： 　　響應於入網觸發操作，向入網管理客戶端發送入網指令，以指示所述入網管理客戶端為本端的終端設備提供入網所需的使用者名和動態密碼； 　　獲取所述入網管理客戶端提供的所述使用者名和所述動態密碼；所述使用者名由所述終端設備的設備ID加密得到，所述動態密碼由所述設備ID和當前時間步長內的時間值加密得到，所述設備ID是認證伺服器為所述終端設備產生的； 　　根據所述使用者名和所述動態密碼，產生入網認證請求，並將所述入網認證請求發送給所述認證伺服器，以供所述認證伺服器對所述終端設備進行入網認證。 　　本申請實施例還提供一種入網認證方法，包括： 　　接收終端設備發送的入網認證請求，所述入網認證請求包括使用者名和動態密碼； 　　按照設定的解密算法，對所述使用者名進行解密； 　　根據從所述使用者名中解密出的所述終端設備的設備ID，對所述終端設備進行可信性驗證； 　　根據可信性驗證結果、所述設備ID和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證。 　　本申請實施例還提供一種電子設備，包括：儲存器以及處理器； 　　所述儲存器，用於儲存程式； 　　所述處理器，與所述儲存器耦接，用於執行所述儲存器中的所述程式，以用於： 　　根據終端設備的入網指令，獲取所述終端設備的設備ID以及由所述設備ID加密得到的使用者名，所述設備ID是認證伺服器為所述終端設備產生的； 　　利用與所述認證伺服器約定的種子密鑰對所述設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼； 　　將所述使用者名和所述動態密碼提供給所述終端設備，以供所述終端設備產生入網認證請求併發往所述認證伺服器進行入網認證。 　　本申請實施例還提供一種終端設備，包括：儲存器、處理器以及通信組件； 　　所述儲存器，用於儲存程式； 　　所述處理器，與所述儲存器耦接，用於執行所述儲存器中的所述程式，以用於： 　　響應於入網觸發操作，控制所述通信組件向入網管理客戶端發送入網指令，以指示所述入網管理客戶端為所述終端設備提供入網所需的使用者名和動態密碼； 　　獲取所述入網管理客戶端提供的所述使用者名和所述動態密碼；所述使用者名由所述終端設備的設備ID加密得到，所述動態密碼由所述設備ID和當前時間步長內的時間值加密得到，所述設備ID是認證伺服器為所述終端設備產生的； 　　根據所述使用者名和所述動態密碼，產生入網認證請求，並控制所述通信組件將所述入網認證請求發送給所述認證伺服器，以供所述認證伺服器對所述終端設備進行入網認證； 　　所述通信組件，用於向所述入網管理客戶端發送所述入網指令，並將所述入網認證請求發送給所述認證伺服器。 　　本申請實施例還提供一種認證伺服器，包括：儲存器、通信組件以及處理器； 　　所述儲存器，用於儲存程式； 　　所述通信組件，用於接收終端設備發送的入網認證請求，所述入網認證請求包括使用者名和動態密碼； 　　所述處理器，與所述儲存器耦接，用於執行所述儲存器中的所述程式，以用於： 　　按照設定的解密算法，對所述使用者名進行解密； 　　根據從所述使用者名中解密出的所述終端設備的設備ID，對所述終端設備進行可信性驗證； 　　根據可信性驗證結果、所述設備ID和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證。 　　本申請實施例還提供一種認證系統，包括：終端設備、入網管理客戶端以及認證伺服器； 　　所述終端設備，用於響應於入網觸發操作，向所述入網管理客戶端發送入網指令；獲取所述入網管理客戶端提供的使用者名和動態密碼；以及根據所述使用者名和所述動態密碼，產生入網認證請求，並將所述入網認證請求發送給所述認證伺服器； 　　所述入網管理客戶端，用於根據所述入網指令，獲取所述設備ID以及所述使用者名；利用與所述認證伺服器約定的種子密鑰對所述設備ID和當前時間步長內的時間值進行加密，以獲得所述動態密碼；以及將所述使用者名和所述動態密碼提供給所述終端設備；所述使用者名由所述設備ID加密得到的； 　　所述認證伺服器，用於接收所述入網認證請求，所述入網認證請求包括所述使用者名和所述動態密碼；根據從所述使用者名中解密出的所述設備ID，對所述終端設備進行可信性驗證；以及根據可信性驗證結果、所述設備ID和所述動態密碼，對所述終端設備進行合法性驗證。 　　在本申請實施例中，由入網管理客戶端利用終端設備的設備ID加密得到使用者名，並利用設備ID和時間步長內的時間值加密得到動態密碼，使得終端設備以所述使用者名和動態密碼進行入網認證。由於設備ID由認證伺服器為終端設備唯一分配，所以對終端設備具有身分標識作用。因此，對認證伺服器來說，一方面可根據使用者名中的設備ID識別設備身分，而無需數位證書，解決了終端設備因不支援或無法使用數位證書導致無法完成入網認證的問題，適用於各種類型的設備進行入網認證；另一方面相比於靜態域密碼，基於與設備ID相結合的動態密碼進行入網認證，安全性更高，滿足安全性需求。

為使本申請的目的、技術方案和優點更加清楚，下面將結合本申請具體實施例及相應的圖式對本申請技術方案進行清楚、完整地描述。顯然，所描述的實施例僅是本申請一部分實施例，而不是全部的實施例。基於本申請中的實施例，本領域普通技術人員在沒有做出進步性勞動前提下所獲得的所有其他實施例，都屬於本申請保護的範圍。 　　在現有技術中，因為EAP-TLS認證方式在安全性、實用性等方面的優勢，成為眾多企業首選的入網認證方式。但是，因為EAP-TLS認證方式需要使用數位證書來驗證入網設備的身分，而對一些終端設備來說，經常出現不支援或無法使用數位證書等問題，造成無法完成入網認證。 　　針對上述技術問題，本申請實施例提供一種解決方案，主要原理是：由認證伺服器為終端設備分配可唯一標識所述終端設備的設備ID，結合入網管理客戶端，由入網管理客戶端為終端設備提供由終端設備的設備ID加密得到使用者名和動態密碼，終端設備以所述使用者名和動態密碼進行入網認證。對認證伺服器來說，一方面可根據使用者名中的設備ID識別終端設備的身分，另一方面基於與設備ID相結合的動態密碼進行入網認證，安全性更高，滿足安全性需求。 　　以下結合圖式，詳細說明本申請各實施例提供的技術方案。 　　圖1為本申請一示例性實施例提供的示例性入網認證系統的結構示意圖。如圖1所示，該系統包括：終端設備10、認證伺服器20以及入網管理客戶端30。終端設備10可與認證伺服器20以有線方式或無線方式連接。 　　認證伺服器20隸屬於一網路21，主要負責其所屬網路21的入網認證管控，確保網路21的安全。認證伺服器20可以是任何可提供計算服務，能夠響應服務請求，並進行處理的設備，例如可以是慣用伺服器、雲伺服器、雲主機、虛擬中心等。伺服器的構成主要包括處理器、硬碟、記憶體、系統匯流排等，和通用的電腦架構類似。 　　終端設備10可以是智能手機、平板電腦、個人電腦、穿戴設備等。終端設備10通常包括至少一個處理單元11和至少一個儲存器12。處理單元11和儲存器12的數量取決於終端設備10的配置和類型。儲存器12可以包括易失性的，例如RAM，也可以包括非易失性的，例如唯讀儲存器(Read-Only Memory, ROM)、快閃記憶體等，或者也可以同時包括兩種類型的。儲存器12內通常儲存有作業系統(Operating System, OS)、一個或多個應用程式，也可以儲存有程式資料等。除了處理單元11和儲存器12之外，終端設備還包括一些基本配置13，例如網卡晶片、IO匯流排、音視訊組件等。可選地，終端設備10還可以包括一些外圍設備14，例如鍵盤、滑鼠、輸入筆、打印機等。這些外圍設備在本領域中是總所周知的，在此不做贅述。 　　在本示例性的入網認證系統中，終端設備10可以接入認證伺服器20所屬的網路21，但需要通過入網認證。其中，終端設備10主要用於根據使用者名和動態密碼向認證伺服器20發起入網認證請求；入網管理客戶端30主要用於向終端設備10提供入網認證所需的使用者名和動態密碼；認證伺服器20主要用於根據入網認證請求對終端設備10進行入網認證。值得一提的是，終端設備10的入網操作屬於系統級操作，可由終端設備的OS負責處理。 　　另外，入網管理客戶端30可以獨立於終端設備10實現，或者也可以安裝於終端設備10上實現。在圖1所示入網認證系統中，以入網管理客戶端30安裝於終端設備10上實現為例。如圖1所示，當入網管理客戶端30安裝於終端設備10上實現時，該入網管理客戶端30儲存於儲存器12中。終端設備10與入網管理客戶端30相配合，可以實現以設備身分和動態密碼進行入網認證。 　　當使用者需要通過終端設備10接入認證伺服器20所屬網路21時，可通過終端設備10發出入網觸發操作。例如，使用者可以通過終端設備10上的設置選項發出入網觸發操作。在一示例性的設備實現中，終端設備10向使用者提供了設置選項，使用者點擊該設置選項可進入設置頁面，設置頁面上包括OS支援的各種功能設置項，例如聲音、牆紙、電池、區域網路/Wi-Fi、運營商等設置項。使用者繼續點擊區域網路/Wi-Fi設置項，以進入區域網路/Wi-Fi設置頁面。此時，終端設備10會自動搜索附近的信號強度符合設定要求的網路資訊並將網路資訊顯示於區域網路/Wi-Fi設置頁面上。在本實施例中，假設終端設備10搜索到的網路資訊包括認證伺服器20所屬網路21。使用者通過點擊區域網路/Wi-Fi設置頁面上網路21的資訊，即觸發接入網路21的操作。 　　終端設備10可響應於入網觸發操作，開始進行入網處理。終端設備10向入網管理客戶端30發送入網指令，以指示入網管理客戶端30為終端設備10提供入網所需的使用者名和動態密碼。入網管理客戶端30接收入網指令，根據該入網指令，開始獲取使用者名和動態密碼的操作。一方面，入網管理客戶端30獲取由認證伺服器20為終端設備10產生的可唯一標識終端設備10的設備ID，並獲取由設備ID加密得到的使用者名；另一方面，入網管理客戶端30利用與認證伺服器20約定的種子密鑰對設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼。因為密碼產生過程與時間因子結合，所以屬於動態密碼，並且該動態密碼是一次性密碼，每次入網都需要重新產生。 　　之後，入網管理客戶端30將使用者名和動態密碼提供給終端設備10。終端設備10獲取入網管理客戶端30提供的使用者名和動態密碼，根據所述使用者名和動態密碼，產生入網認證請求，並將入網認證請求發送給認證伺服器20，以供認證伺服器20對終端設備10進行入網認證。 　　其中，入網管理客戶端30可以採用多種實現方式將使用者名和動態密碼提供給終端設備10。下面舉例說明： 　　在一示例性實現方式中，在使用者觸發入網操作時，終端設備10向使用者展示一入網資訊頁面，作為獲取使用者名和動態密碼的途徑。可選地，該入網資訊頁面上設置有使用者名輸入框和密碼輸入框，使用者名輸入框用於填充使用者名，密碼輸入框用於填充動態密碼。 　　可選地，對入網管理客戶端30來說，在獲取到使用者名和動態密碼之後，可以將使用者名和動態密碼填充至所述入網資訊頁面中，以供終端設備10從入網資訊頁面中提取所述使用者名和動態密碼。例如，入網管理客戶端30可以自動將使用者名填充至入網資訊頁面上的使用者名輸入框內，並將動態密碼填充至入網資訊頁面上的密碼輸入框內。這種由入網管理客戶端30自動將使用者名和動態密碼填充至所述入網資訊頁面中的實施方式，效率較高。 　　可選地，對入網管理客戶端30來說，在獲取到使用者名和動態密碼之後，也可以將使用者名和動態密碼輸出至入網管理客戶端30的一頁面上，以供使用者通過該頁面獲知使用者名和密碼。對使用者來說，在觸發入網操作之後，可以看到終端設備10提供的入網資訊頁面，進而獲知需要輸入使用者名和動態密碼，於是去存取入網管理客戶端30提供的包括有使用者名和動態密碼的頁面。對入網管理客戶端30來說，可根據使用者的存取請求，向使用者展示包括有使用者名和動態密碼的頁面，以供使用者從所述頁面中將使用者名和動態密碼複製到入網資訊頁面中。 　　當上述入網資訊頁面上填充使用者名和動態密碼後，終端設備10可以從該入網資訊頁面中獲取所述使用者名和動態密碼，進而產生入網認證請求併發送給認證伺服器20，以供認證伺服器20對終端設備10進行入網認證。 　　認證伺服器20接收終端設備10發送的入網認證請求，該入網認證請求包括使用者名和動態密碼。使用者名是由終端設備10的設備ID加密得到的，動態密碼是利用約定的種子密鑰對終端設備10的設備ID以及終端設備10當時指定時間步長內的時間值進行加密得到的。 　　之後，認證伺服器20對使用者名進行解密；若未成功解密使用者名，則認證失敗，拒絕終端設備10接入網路21；若從使用者名中成功解密出終端設備10的設備ID，則根據解密出的設備ID對終端設備10進行可信性驗證，因為終端設備10的ID是認證伺服器20唯一產生的，所以基於終端設備10的設備ID可以達到識別終端設備10的目的。若終端設備10未通過可信性驗證，則認證失敗，拒絕終端設備10接入網路21；若終端設備10通過可信性驗證，則可以根據設備ID和入網認證請求中的動態密碼，對終端設備10進行合法性驗證。若終端設備10通過合法性驗證，允許終端設備10接入網路21；若終端設備10未通過合法性驗證，拒絕終端設備10接入網路21。 　　由上述可見，在本示例性的入網認證系統中，由入網管理客戶端30為終端設備10提供由終端設備的設備ID加密得到使用者名和動態密碼，終端設備10以所述使用者名和動態密碼進行入網認證，實際上是以設備ID和動態密碼進行入網認證。從認證伺服器20的角度來看，一方面可根據使用者名中的設備ID識別終端設備的身分，另一方面基於與設備ID相結合的動態密碼進行入網認證，安全性更高，滿足安全性需求。 　　在一示例性應用場景中，在終端設備10進行入網認證之前，入網管理客戶端30可以預先向認證伺服器20進行註冊，通過該註冊過程預先獲得使用者名、設備ID和種子密鑰等資料。如圖2所示，一種入網管理客戶端30向認證伺服器20進行註冊的流程包括以下步驟： 　　201、入網管理客戶端30向認證伺服器20發送註冊請求，所述註冊請求攜帶有終端設備10的硬體資訊。 　　此處不對硬體資訊進行限定，凡是與終端設備10相關的硬體資訊均適用於本實施例，例如可以是與終端設備10的中央處理單元(Central Processing Unit, CPU)、顯卡、硬碟等相關的資訊。 　　可選地，註冊請求中還可以包括終端設備10對應的使用者資訊及/或企業資訊。 　　202、認證伺服器20接收註冊請求，從中解析出終端設備10的硬體資訊，並根據所述硬體資訊產生可唯一標識終端設備10的設備ID，記為UMID。 　　可選地，當註冊請求中包括使用者資訊及/或企業資訊時，認證伺服器20可以儲存終端設備10對應的使用者資訊及/或企業資訊，並且還可以根據該使用者資訊及/或企業資訊為終端設備產生使用者ID(User ID, UID)及/或企業ID(Customer Identity, CID)。其中，UID用於唯一標識終端設備10所屬的使用者；CID使用者唯一標識終端設備10所屬的企業。 　　例如，使用者資訊可以包括但不限於：使用者註冊的帳號、密碼、使用者的郵箱、手機號碼、昵稱等資訊。企業資訊可以包括但不限於：使用者註冊的帳號、密碼、企業註冊地、企業名稱、企業性質、企業規模等資訊。 　　203、認證伺服器20採用設定的加密算法產生兩個動態令牌(token)，即令牌密鑰(TokenKey, TK)和進程令牌(ProcessToken, PT)。 　　其中，TK可作為終端設備10入網認證時所需的使用者名，由UMID加密得到。PT可作為加密後的種子密鑰，可由UMID、TK以及種子密鑰加密得到。 　　可選地，可以採用Blowfish 加密算法對UMID進行加密以產生TK。 　　可選地，可以採用AES-128加密算法對UMID、TK以及種子密鑰加密以產生PT。 　　進一步，當認證伺服器20為終端設備產生CID、UID和UMID時，可以同時結合CID、UID和UMID來產生TK和PT。其中，結合CID、UID和UMID產生TK和PT的加密公式分別如下： 　　TK=Blowfish(CID+UID+UMID+RANDOM+TIME，(app_secret)) 　　PT=TK+AES128(CID+UID+UMID，(app_secret)) 　　在上述加密公式中，app_secret表示入網管理客戶端30與認證伺服器20約定的種子密鑰。該種子密鑰可以是入網管理客戶端30的API介面密鑰，與入網管理客戶端30一一對應。 　　204、認證伺服器向入網管理客戶端30發送TK、PT以及UMID。 　　205、入網管理客戶端30接收TK、PT以及UMID，並將UMID、TK保存在本地空間中。 　　206、入網管理客戶端30向獨立的加密工具發送PT，由加密工具對PT解密獲得種子密鑰並儲存種子密鑰。 　　其中，加密工具對入網管理客戶端30以及認證伺服器20來說是一個黑匣子，其採用的加密算法以及儲存種子密鑰的方式對外不可見，且加密工具具有防篡改功能，而且在不安全的情況下禁止被存取或使用，這樣可以降低種子密鑰被破解的風險，保證種子密鑰的安全性，進而可提高入網認證的安全性。對入網管理客戶端30和認證伺服器來說，在需要時只需調用加密工具即可。 　　基於上述註冊流程，入網管理客戶端30可以預先將終端設備10的設備ID和使用者名保存至本地空間中。因此，當接收到入網指令時，入網管理客戶端30可直接從本地空間中讀取終端設備10的設備ID和使用者名。除該實施方式之外，入網管理客戶端30也可以在接收到入網指令時，實時地向認證伺服器20請求終端設備10的設備ID和使用者名。例如，如果認證伺服器20未在上述註冊流程中向入網管理客戶端30下發終端設備10的設備ID和使用者名，則入網管理客戶端30在接收到入網指令時，需要實時地向認證伺服器20請求終端設備10的設備ID和使用者名。其中，由認證伺服器20向入網管理客戶端30下發終端設備10的設備ID和使用者名，加密算法只需保存在認證伺服器20一端，有利於降低加密算法被破解的概率，進而提高設備ID和使用者名的安全性。 　　進一步可選地，在上述註冊流程中，認證伺服器20可以通過註冊設備列表儲存已註冊設備的設備ID，並通過設備狀態列表儲存已註冊設備的狀態，例如已註冊、已刪除、被凍結、被禁用等。其中，註冊設備列表和設備狀態列表可以是同一列表，也可以是相互獨立的兩個列表。 　　基於上述註冊設備列表和設備狀態列表，認證伺服器20可以結合註冊設備列表和設備狀態列表，對終端設備10進行可信性驗證。一種可選實施方式包括：當從使用者名中成功解密出終端設備10的設備ID時，認證伺服器20根據解密出的設備ID查找註冊設備列表，以判斷終端設備10是否已經註冊；如果從註冊設備列表中查詢到所述解密出的設備ID，進一步查詢設備狀態列表，以判斷終端設備10的狀態是否正常；如果從設備狀態列表中查詢到終端設備10處於正常狀態，確定終端設備10通過可信性驗證。如果未從註冊設備列表中查詢到所述解密出的設備ID，或者從設備狀態列表中查詢到終端設備10處於異常狀態，例如被刪除、被禁用、被凍結，則確定終端設備10未通過可信性驗證。 　　在一可選實施方式中，認證伺服器20在產生使用者名(即TK)的過程可以同時結合CID及/或UID。基於此，認證伺服器20除了可以從使用者名中解密出UMID之外，還可以從使用者名中解密出UID及/或CID。為了提高網路安全性，可以從設備角度、使用者角度以及企業角度進行多因素認證。基於此，認證伺服器20在對終端設備10進行可信性驗證之前，可以根據UID和預先註冊的使用者資訊及/或企業資訊，對終端設備10所屬的使用者及/或企業進行身分驗證；例如，可以判斷從使用者名中解密出的UID及/或CID是否與預先註冊的使用者資訊及/或企業資訊相匹配，如果相匹配，確定終端設備10所屬的使用者及/或企業通過身分驗證；如果不匹配，確定終端設備10所屬的使用者及/或企業未通過身分驗證。當終端設備10所屬的使用者及/或企業通過身分驗證時，再對終端設備10進行可信性驗證。 　　在上述實施例或下述實施例中，在終端設備10通過可信性驗證之後，認證伺服器20需要根據設備ID和入網認證請求中的動態密碼對終端設備10進行合法性驗證。 　　一種對終端設備10進行合法性驗證的實施方式包括：認證伺服器20可以確定至少兩個時間步長，其中，所述至少兩個時間步長包括當前時間步長以及與當前時間步長相距最近的至少一個歷史時間步長；對至少兩個時間步長中的每個時間步長，利用與入網管理客戶端30約定的種子密鑰對解密出的設備ID和每個時間步長內的時間值進行加密，以產生至少兩個動態密碼；根據至少兩個動態密碼和入網認證請求中的動態密碼，對終端設備進行合法性驗證。例如，可以將至少兩個動態密碼與入網認證請求中攜帶的動態密碼進行比較；若至少兩個動態密碼中存在與入網認證請求中攜帶的動態密碼相同的動態密碼，則確定終端設備10通過合法性驗證；若至少兩個動態密碼中不存在與入網認證請求中攜帶的動態密碼相同的動態密碼，則確定終端設備10未通過合法性驗證。 　　進一步可選地，認證伺服器20可以儲存已認證設備的映射資料。這裡已認證設備包括當前線上的已認證設備，也包括已下線的歷史已認證設備。已認證設備的映射資料包括但不限於：已認證設備的設備ID、媒體存取控制(Media Access Control, MAC)位址、UID、CID、認證通過時所使用的動態密碼等資料。基於此，認證伺服器20可以結合已認證設備的映射資料對終端設備進行合法性驗證。 　　另一種對終端設備10進行合法性驗證的實施方式包括：認證伺服器20根據從使用者名中解密出的設備ID判斷已認證設備的映射資料中是否存在終端設備上次認證通過所使用的動態密碼。若已認證設備的映射資料中存在終端設備上次認證通過所使用的動態密碼，則根據終端設備上次認證通過所使用的動態密碼和入網認證請求中攜帶的動態密碼，對終端設備10進行合法性驗證。例如，可以將終端設備上次認證通過所使用的動態密碼與入網認證請求中攜帶的動態密碼進行比較；若兩者相同，則確定終端設備10通過合法性驗證；若兩者不相同，則確定終端設備10未通過合法性驗證。 　　若已認證設備的映射資料中不存在終端設備上次認證通過所使用的動態密碼，則認證伺服器20確定至少兩個時間步長，利用與入網管理客戶端30約定的種子密鑰分別對設備ID和每個時間步長內的時間值進行加密，以獲得至少兩個動態密碼；將至少兩個動態密碼與入網認證請求中攜帶的動態密碼進行比較；若至少兩個動態密碼中存在與入網認證請求中攜帶的動態密碼相同的動態密碼，則確定終端設備10通過合法性驗證；若至少兩個動態密碼中不存在與入網認證請求中攜帶的動態密碼相同的動態密碼，則確定終端設備10未通過合法性驗證。 　　可選地，在上述認證過程中，認證伺服器20也可以將設備ID以及當前時間步長或歷史時間步長內的時間值發送給加密工具，以使加密工具利用預先約定的種子密鑰對設備ID以及當前時間步長或歷史時間步長內的時間值進行加密，從而獲得動態密鑰。 　　值得說明的是，動態密碼具有一定時效性，當時效性結束時，該動態密碼就會失效，故會被刪除。在同一個時間步長內，動態密碼產生的結果是一樣的。對認證伺服器20來說，並不知道入網認證請求中攜帶的動態密碼是在哪個時間步長內產生的，而且由於網路的原因，動態密碼產生端(即入網管理客戶端30)的時間和認證伺服器20接收到動態密碼的時間可能差距會很大，有可能使得這兩個時間不在同一個時間步長內。例如，可能存在這種情況：入網管理客戶端30在一個時間步長的結尾時刻產生動態密碼，認證伺服器20在下一個時間步長的開始時刻接收到該動態密碼，這種情況屬於合理情況。基於此，考慮到傳輸時延，在上述計算動態密碼的過程中不僅考慮當前時間步長，而且考慮與當前時間步長相鄰的歷史時間步長，歷史時間步長可以是一個或多個。歷史時間步長的個數越多，被攻擊的風險就越大，因此歷史時間步長的個數可視網路的風險容忍程度而定。 　　進一步，認證伺服器20在獲得終端設備10的認證結果之後，還可以向終端設備10返回認證結果。所述認證結果包括：終端設備10通過認證，或終端設備10未通過認證。 　　圖1所示入網認證系統可在802.1X協議框架下部署實施。可選地，圖1所示入網認證系統還可與802.1X協議中的EAP-PEAP認證方式相結合，以EAP-PEAP作為載體形成一種新的認證方式，但並不限於與EAP-PEAP認證方式相結合。基於此，如圖3所示，另一種示例性的入網認證系統主要包括：終端設備10、認證伺服器20、入網管理客戶端30、Radius伺服器40以及網路附屬儲存(Network Attached Storage, NAS)設備50 。終端設備10通過NAS設備50與Radius伺服器40連接，Radius伺服器40與認證伺服器20連接。 　　值得說明的是，圖3所示入網認證系統中，除了終端設備10、NAS設備50、Radius伺服器30以及認證伺服器20之外，還可以包括網關等其它一些網路設備，在此不做贅述，具體可視網路部署情況而定。 　　在圖3所示示例性的入網認證系統中，終端設備10、認證伺服器20以及入網管理客戶端30的功能基本不變。終端設備10仍舊主要用於根據使用者名和動態密碼向認證伺服器20發起入網認證請求，發起過程參見前面的描述；入網管理客戶端30仍舊主要用於向終端設備10提供入網認證所需的使用者名和動態密碼；認證伺服器20仍舊主要用於對終端設備10進行入網認證，認證過程參見前面的描述。區別在於：終端設備10與認證伺服器20之間的交互資料需要封裝為遠程使用者撥號認證系統(Remote authentication dial in user service, Radius)協議報文，並通過Radius伺服器40進行轉發。 　　Radius是一種客戶端/伺服器(C/S)結構的協議，Radius伺服器40和NAS設備50分別是Radius協議下的伺服器和客戶端。其中，NAS設備50可以是任何運行Radius客戶端軟體的設備，主要向遠程接入使用者(即終端設備10)提供接入及與Radius伺服器40交互的服務。在本實施例中，Radius伺服器40主要作為認證伺服器20的代理，負責Radius協議報文的封裝/解封裝以及轉發，這點不同於傳統意義上的Radius伺服器。其中，Radius伺服器40可以是任何運行Radius伺服端軟體的設備。 　　在圖3所示入網認證系統中，終端設備10可以採用圖2所示流程向認證伺服器20進行註冊，詳細流程在此不再贅述。之後，當使用者需要通過終端設備10接入認證伺服器20所屬的網路21時，可進入入網認證流程。可選地，如圖4所示，可在圖3所示入網認證系統中實施的一種認證流程包括以下步驟： 認證初始化階段： 　　401、終端設備10響應於使用者觸發的入網操作，向入網管理客戶端30發送入網指令，與此同時，在終端設備的界面上展示入網資訊頁面。 　　402、入網管理客戶端30可從本地空間中讀取UMID以及TK，將TK作為使用者名。 　　403、入網管理客戶端30調用加密工具，由加密工具利用種子密鑰對UMID和當前時間步長內的時間值進行加密，以獲得動態密碼。 　　可選地，時間步長可以是5分鐘、3分鐘、2分鐘等，具體視應用需求而定。 　　404、入網管理客戶端30自動將TK和動態密碼填充至入網資訊頁面上。 　　405、終端設備10從入網資訊頁面中獲取TK和動態密碼。 　　傳輸層安全(Transport Layer Security, TLS)通道建立階段： 　　406、終端設備10向NAS設備50發送一個EAPoL-Start報文，開始802.1X接入的開始。 　　407、NAS設備50向終端設備10發送EAP-Request/Identity報文，要求終端設備10上報使用者的網路標識。 　　408、終端設備10向NAS設備50回應一個EAP-Response/Identity報文。 　　409、NAS設備50以EAPoR(EAP over Radius)的報文格式將EAP-Response/Identity發送給Radius伺服器40。 　　410、Radius伺服器40收到EAP-Response/Identity報文，根據配置確定使用EAP-PEAP認證，並向NAS設備50發送RADIUS-Access-Challenge報文，該報文裡面含有Radius伺服器40發送給終端設備10的EAP-Request/Peap/Start報文，表示希望開始進行EAP-PEAP的認證。 　　411、NAS設備50將EAP-Request/Peap/Start報文發送給終端設備10。 改進MSCHPAV2認證階段： 　　412、終端設備10收到EAP-Request/Peap/Start報文後，按照MSCHPAV2算法對動態密碼進行處理，獲得一哈希值，記為ntSendResponse，將使用者名和哈希值ntSendResponse，封裝在EAP-Response/Client Hello報文中發送給NAS設備50。 　　413、NAS設備50以EAPoR的報文格式將EAP-Response/Client Hello報文發送給Radius伺服器40。 　　414、Radius伺服器40收到終端設備10發來的EAP-Response/Client Hello報文後，從中解析出TK和哈希值ntSendResponse。 　　415、Radius伺服器40向認證伺服器20發送TK和哈希值ntSendResponse。 　　416、認證伺服器20按照設定的解密算法對使用者名進行解密；若成功解密，進入步驟417；若未成功解密，進入步驟421。該解密算法與認證伺服器20在註冊流程中產生使用者名時採用的加密算法相對應。 　　417、認證伺服器20根據從使用者名中解密出的設備ID對終端設備10進行可信性驗證；若終端設備10通過可信性驗證，進入步驟418；若未通過可信性驗證，進入步驟421。 　　418、認證伺服器20根據設備ID和哈希值ntSendResponse，對終端設備10進行合法性驗證；若通過合法性驗證，進入步驟419；若未通過合法性驗證，進入步驟421。 　　在本實施例中，認證伺服器20會記錄已認證設備的映射資料。已認證設備的映射資料中包括已認證設備的設備ID、MAC位址、使用者名、哈希值以及認證過程中所需的哈希密碼等資訊。基於此，認證伺服器20可以根據設備ID判斷已認證設備的映射資料中是否存在終端設備10上一次通過認證所使用的哈希密碼。 　　若判斷結果為存在，則對終端設備10上一次通過認證所使用的哈希密碼做哈希處理得到一哈希值；將該哈希值與哈希值ntSendResponse進行比較；兩個哈希值相同，確定終端設備10通過合法性驗證；若兩個哈希值不相同，確定終端設備10未通過合法性驗證。 　　若判斷結果為不存在，根據當前時間，確定當前時間步長以及與當前時間步長相鄰的歷史時間步長；利用與入網管理客戶端30約定的種子密鑰對設備ID和所確定的每個時間步長內的時間值進行加密，獲得至少兩個動態密碼；按照MSCHPAV2算法對至少兩個動態密碼進行處理，獲得至少兩個哈希密碼；進而，對至少兩個哈希密碼進行哈希處理，獲得至少兩個哈希值。將至少兩個哈希值與哈希值ntSendResponse進行比較；若至少兩個哈希值中存在與哈希值ntSendResponse相同的哈希值，確定終端設備10通過合法性驗證；若至少兩個哈希值中不存在與哈希值ntSendResponse相同的哈希值，確定終端設備10未通過合法性驗證。 　　當確定終端設備10通過合法性驗證後，將與哈希值ntSendResponse相同的哈希值所對應的哈希密碼儲存到終端設備10的映射資料中。 　　419、認證伺服器20通過MSCHPAV2算法產生一個認證通過標識msch_response，並向Radius伺服器40發送認證通過標識msch_response。 　　420、Radius伺服器40將認證通過標識msch_response封裝在RADIUS-Access-Accept報文中，通過NAS設備50向終端設備10發送RADIUS-Access-Accept報文，結束認證流程。 　　421、認證伺服器20向Radius伺服器40發送未通過認證結果，並進入步驟422。 　　422、Radius伺服器40將未通過認證結果封裝在RADIUS-Access-Reject報文中，並通過NAS設備50向終端設備10發送RADIUS-Access-Reject報文，結束認證流程。 　　基於上述圖1或圖3所示的入網認證系統，本申請以下實施例分別從入網管理客戶端、終端設備以及認證伺服器的角度給出了幾種入網認證方法的流程。 　　從入網管理客戶端的角度來看，一種入網認證方法的流程如圖5所示，包括以下步驟： 　　501、根據終端設備的入網指令，獲取終端設備的設備ID以及由設備ID加密得到的使用者名，設備ID是認證伺服器為終端設備產生的。 　　502、利用與認證伺服器約定的種子密鑰對設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼。 　　503、將使用者名和動態密碼提供給終端設備，以供終端設備產生入網認證請求併發往認證伺服器進行入網認證。 　　在一可選實施方式中，上述將使用者名和動態密碼提供給終端設備，包括： 　　將使用者名和動態密碼填充至終端設備提供的入網資訊頁面中；或者 　　將使用者名和動態密碼輸出至本端頁面上，並根據使用者的存取請求，向使用者展示本端頁面，以供使用者從本端頁面中將使用者名和動態密碼複製到終端設備提供的入網資訊頁面中。 　　在一可選實施方式中，上述種子密鑰由獨立於本端的加密工具維護管理。基於此，上述利用與認證伺服器約定的種子密鑰對設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼，包括：將設備ID和當前時間步長內的時間值發送給加密工具，以使加密工具利用種子密鑰對設備ID和當前時間步長內的時間值進行加密並輸出動態密碼。 　　在一可選實施方式中，在根據終端設備的入網指令，獲取終端設備的設備ID以及由設備ID加密得到的使用者名之前，還可以向認證伺服器進行註冊。在所述註冊流程中，入網管理客戶端主要執行以下操作：向認證伺服器發送註冊請求，所述註冊請求包括終端設備的硬體資訊，所述硬體資訊用於供認證伺服器為終端設備產生設備ID；接收認證伺服器下發的使用者名、設備ID以及由使用者名和設備ID加密後的種子密鑰；將設備ID以及使用者名儲存在本地空間中，並將由使用者名和設備ID加密後的種子密鑰發送至加密工具，以供加密工具解密出種子密鑰。 　　在一可選實施方式中，上述註冊請求還包括：終端設備對應的使用者資訊；所述使用者資訊用於供認證伺服器為終端設備產生使用者ID。基於此，入網管理客戶端還會接收認證伺服器下發的使用者ID。 　　從終端設備的角度來看，一種入網認證方法的流程如圖6所示，包括以下步驟： 　　601、響應於入網觸發操作，向入網管理客戶端發送入網指令，以指示入網管理客戶端為本端的終端設備提供入網所需的使用者名和動態密碼。 　　602、獲取入網管理客戶端提供的使用者名和動態密碼；使用者名由終端設備的設備ID加密得到，動態密碼由設備ID和當前時間步長內的時間值加密得到，設備ID是認證伺服器為終端設備產生的。 　　603、根據使用者名和動態密碼，產生入網認證請求，並將入網認證請求發送給認證伺服器，以供認證伺服器對終端設備進行入網認證。 　　在一可選實施方式中，在響應入網觸發操作時，還可以向使用者展示一入網資訊頁面，以獲取使用者名和動態密碼。基於此，上述獲取入網管理客戶端提供的使用者名和動態密碼，包括：從所述入網資訊頁面中獲取使用者名和動態密碼。其中，使用者名和動態密碼是由入網管理客戶端填充至入網資訊頁面中，或者由使用者從入網管理客戶端的頁面中複製到入網資訊頁面中。 　　從認證伺服器的角度來看，一種入網認證方法的流程如圖7所示，包括以下步驟： 　　701、接收終端設備發送的入網認證請求，入網認證請求包括使用者名和動態密碼。 　　702、按照設定的加密算法，對所述使用者名進行解密。 　　703、根據從使用者名中解密出的終端設備的設備ID，對終端設備進行可信性驗證。 　　704、根據可信性驗證結果、設備ID和入網認證請求中的動態密碼，對終端設備進行合法性驗證。 　　在一可選實施方式中，上述根據從使用者名中解密出的終端設備的設備ID，對終端設備進行可信性驗證，包括：當從使用者名成功解密出終端設備的設備ID時，根據設備ID查找註冊設備列表，註冊設備列表儲存有已註冊設備的設備ID；從註冊設備列表中查詢到設備ID，查詢設備狀態列表，設備狀態列表儲存有已註冊設備的狀態；若從設備狀態列表中查詢到終端設備處於正常狀態，確定終端設備通過可信性驗證。 　　在一可選實施方式中，上述使用者名中還包括：終端設備對應的使用者ID。基於此，在根據設備ID對終端設備進行可信性驗證之前，還可以根據使用者ID和預先註冊的終端設備對應的使用者資訊，對終端設備所屬的使用者進行合法性驗證；當終端設備所屬的使用者通過合法性驗證時，執行根據設備ID對終端設備進行可信性驗證的操作。 　　在一可選實施方式中，上述根據可信性驗證結果、設備ID和入網認證請求中的動態密碼，對終端設備進行合法性驗證，包括：當終端設備通過可信性驗證時，利用與入網管理客戶端約定的種子密鑰分別對設備ID和至少兩個時間步長中每個時間步長內的時間值進行加密，以產生至少兩個動態密碼；根據至少兩個動態密碼和入網認證請求中的動態密碼，對終端設備進行合法性驗證；其中，至少兩個時間步長包括當前時間步長以及與當前時間步長相距最近的至少一個歷史時間步長。 　　在一可選實施方式中，上述在利用與入網管理客戶端約定的種子密鑰分別對設備ID和至少兩個時間步長中每個時間步長內的時間值進行加密，以獲得至少兩個動態密碼之前，還可以根據設備ID判斷已認證設備的映射資料中是否存在終端設備上次認證通過所使用的動態密碼；若判斷結果為存在，根據終端設備上次認證通過所使用的動態密碼和入網認證請求中的動態密碼，對終端設備進行合法性驗證；若判斷結果為不存在，執行利用與入網管理客戶端約定的種子密鑰分別對設備ID和至少兩個時間步長中每個時間步長內的時間值進行加密，以產生至少兩個動態密碼的操作。 　　在一可選實施方式中，上述在接收終端設備發送的入網認證請求之前，還包括一註冊流程。在所述註冊流程中，認證伺服器主要執行以下操作：接收入網管理客戶端發送的註冊請求，所述註冊請求攜帶有終端設備的硬體資訊；根據所述註冊請求中的硬體資訊為終端設備產生設備ID；對所述設備ID進行加密，以產生使用者名；利用使用者名和設備ID對種子密鑰進行加密，以獲得加密後的種子密鑰；將使用者名、設備ID以及加密後的種子密鑰發送給入網管理客戶端。 　　需要說明的是，上述實施例所提供方法的各步驟的執行主體均可以是同一設備，或者，該方法也由不同設備作為執行主體。比如，步驟501至步驟503的執行主體可以為設備A；又比如，步驟501和502的執行主體可以為設備A，步驟503的執行主體可以為設備B；等等。 　　圖8a為本申請又一實施例提供的入網管理裝置的結構示意圖。該入網管理裝置可作為前述的入網管理客戶端實現。如圖8a所示，所述入網管理裝置包括：獲取模組81、加密模組82和提供模組83。 　　獲取模組81，用於根據終端設備的入網指令，獲取所述終端設備的設備ID以及由所述設備ID加密得到的使用者名，所述設備ID是認證伺服器為所述終端設備產生的。 　　加密模組82，用於利用與所述認證伺服器約定的種子密鑰對所述設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼。 　　提供模組83，用於將所述使用者名和所述動態密碼提供給所述終端設備，以供所述終端設備產生入網認證請求併發往所述認證伺服器進行入網認證。 　　在一可選實施方式中，提供模組83具體用於：將所述使用者名和所述動態密碼填充至所述終端設備提供的入網資訊頁面中；或者，將所述使用者名和所述動態密碼輸出至本端頁面上，並根據使用者的存取請求，向所述使用者展示所述本端頁面，以供所述使用者從所述本端頁面中將所述使用者名和所述動態密碼複製到所述終端設備提供的入網資訊頁面中。 　　在一可選實施方式中，種子密鑰由獨立於本端的加密工具維護管理。基於此，加密模組82具體用於：將所述設備ID和當前時間步長內的時間值發送給所述加密工具，以使所述加密工具利用所述種子密鑰對所述設備ID和當前時間步長內的時間值進行加密並輸出所述動態密碼。 　　在一可選實施方式中，入網管理裝置還包括：發送模組、接收模組和儲存模組。 　　發送模組，向所述認證伺服器發送註冊請求，所述註冊請求包括所述終端設備的硬體資訊，所述硬體資訊用於供所述認證伺服器為所述終端設備產生所述設備ID。 　　接收模組，用於接收所述認證伺服器下發的所述使用者名、所述設備ID以及由所述使用者名和所述設備ID加密後的種子密鑰。 　　儲存模組，用於將所述設備ID以及所述使用者名儲存在本地空間中，並將由所述使用者名和所述設備ID加密後的種子密鑰發送至所述加密工具，以供所述加密工具解密出所述種子密鑰。 　　在一可選實施方式中，所述註冊請求還包括：所述終端設備對應的使用者資訊；所述使用者資訊用於供所述認證伺服器為所述終端設備產生使用者ID。 　　以上描述了入網管理裝置的內部功能和結構，如圖8b所示，實際中，該入網管理裝置可實現為電子設備，包括：儲存器84以及處理器85。 　　儲存器84，可被配置為儲存其它各種資料以支援在電子設備上的操作。這些資料的示例包括用於在電子設備上操作的任何應用程式或方法的指令，連絡人資料，電話簿資料，訊息，圖片，視訊等。 　　儲存器84可以由任何類型的易失性或非易失性儲存設備或者它們的組合實現，如靜態隨機存取儲存器(SRAM)，電可抹除可程式化唯讀儲存器(EEPROM)，可抹除可程式化唯讀儲存器(EPROM)，可程式化唯讀儲存器(PROM)，唯讀儲存器(ROM)，磁儲存器，快閃儲存器，磁碟或光碟。 　　處理器85與儲存器84耦接，用於執行儲存器84中的程式，以用於： 　　根據終端設備的入網指令，獲取所述終端設備的設備ID以及由所述設備ID加密得到的使用者名，所述設備ID是認證伺服器為所述終端設備產生的； 　　利用與所述認證伺服器約定的種子密鑰對所述設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼； 　　將所述使用者名和所述動態密碼提供給所述終端設備，以供所述終端設備產生入網認證請求併發往所述認證伺服器進行入網認證。 　　其中，處理器85在執行儲存器84中的程式時，除了上面的功能之外，還可實現其它功能，具體可參見前面各實施例中與入網管理客戶端相關的描述。 　　進一步，如圖8b所示，電子設備還包括：通信組件86、顯示器87、電源組件88、音訊組件89等其它組件。圖8b中僅示意性給出部分組件，並不意味著電子設備只包括圖8b所示組件。 　　相應地，本申請實施例還提供一種儲存有電腦程式的電腦可讀儲存媒介，所述電腦程式被電腦執行時能夠實現上述各實施例中與入網管理客戶端相關的方法步驟或功能。 　　圖9a為本申請又一實施例提供的入網認證裝置的結構示意圖。該入網認證裝置可位於需要入網認證的終端設備的內部實現。如圖9a所示，所述入網認證裝置包括：發送模組91、獲取模組92和產生模組93。 　　發送模組91，用於響應於入網觸發操作，向入網管理客戶端發送入網指令，以指示所述入網管理客戶端為本端的終端設備提供入網所需的使用者名和動態密碼。 　　獲取模組92，用於獲取所述入網管理客戶端提供的所述使用者名和所述動態密碼；所述使用者名由所述終端設備的設備ID加密得到，所述動態密碼由所述設備ID和當前時間步長內的時間值加密得到，所述設備ID是認證伺服器為所述終端設備產生的。 　　產生模組93，用於根據所述使用者名和所述動態密碼，產生入網認證請求。 　　所述發送模組91，還用於將所述入網認證請求發送給所述認證伺服器，以供所述認證伺服器對所述終端設備進行入網認證。 　　在一可選實施方式中，入網認證裝置還包括：顯示模組，用於在響應入網觸發操作時，展示入網資訊頁面，以獲取入網認證所需的使用者名和動態密碼。基於此，獲取模組92具體用於：從所述入網資訊頁面中獲取所述使用者名和所述動態密碼；其中，所述使用者名和所述動態密碼是由所述入網管理客戶端填充至所述入網資訊頁面中，或者由所述使用者從所述入網管理客戶端的頁面中複製到所述入網資訊頁面中。 　　以上描述了入網認證裝置的內部功能和結構，如圖9b所示，實際中，該入網認證裝置可實現為終端設備，包括：儲存器95、處理器96以及通信組件97。 　　儲存器95，可被配置為儲存其它各種資料以支援在終端設備上的操作。這些資料的示例包括用於在終端設備上操作的任何應用程式或方法的指令，連絡人資料，電話簿資料，訊息，圖片，視訊等。 　　儲存器95可以由任何類型的易失性或非易失性儲存設備或者它們的組合實現，如靜態隨機存取儲存器(SRAM)，電可抹除可程式化唯讀儲存器(EEPROM)，可抹除可程式化唯讀儲存器(EPROM)，可程式化唯讀儲存器(PROM)，唯讀儲存器(ROM)，磁儲存器，快閃儲存器，磁碟或光碟。 　　處理器96與儲存器95耦接，用於執行儲存器95中的程式，以用於： 　　響應於入網觸發操作，控制通信組件97向入網管理客戶端發送入網指令，以指示所述入網管理客戶端為所述終端設備提供入網所需的使用者名和動態密碼； 　　獲取所述入網管理客戶端提供的所述使用者名和所述動態密碼；所述使用者名由所述終端設備的設備ID加密得到，所述動態密碼由所述設備ID和當前時間步長內的時間值加密得到，所述設備ID是認證伺服器為所述終端設備產生的； 　　根據所述使用者名和所述動態密碼，產生入網認證請求，並控制通信組件97將所述入網認證請求發送給所述認證伺服器，以供所述認證伺服器對所述終端設備進行入網認證。 　　通信組件，用於向所述入網管理客戶端發送所述入網指令，並將所述入網認證請求發送給所述認證伺服器。 　　其中，處理器96在執行儲存器95中的程式時，除了上面功能之外，還可實現其它功能，具體可參見前面各實施例中與終端設備相關的描述。 　　進一步，如圖9b所示，終端設備還包括：顯示器98、電源組件99、音訊組件90等其它組件。圖9b中僅示意性給出部分組件，並不意味著終端設備只包括圖9b所示組件。 　　相應地，本申請實施例還提供一種儲存有電腦程式的電腦可讀儲存媒介，所述電腦程式被電腦執行時能夠實現上述各實施例中與終端設備相關的方法步驟或功能。 　　圖10a為本申請又一實施例提供的入網認證裝置的結構示意圖。該入網認證裝置可位於認證伺服器內部實現。如圖10a所示，所述入網認證裝置包括：接收模組1001、解密模組1002和驗證模組1003。 　　接收模組1001，用於接收終端設備發送的入網認證請求，所述入網認證請求包括使用者名和動態密碼； 　　解密模組1002，用於按照設定的解密算法，對所述使用者名進行解密。 　　驗證模組1003，用於根據解密模組1002從使用者名中解密出的所述終端設備的設備ID時，對所述終端設備進行可信性驗證。 　　驗證模組1003，還用於根據可信性驗證結果、所述設備ID和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證。 　　在一可選實施方式中，驗證模組1003對所述終端設備進行可信性驗證時，具體用於：當從使用者名中成功解密出終端設備的設備ID時，根據所述設備ID查找註冊設備列表，所述註冊設備列表儲存有已註冊設備的設備ID；若從所述註冊設備列表中查詢到所述設備ID，查詢設備狀態列表，所述設備狀態列表儲存有已註冊設備的狀態；若從所述設備狀態列表中查詢到所述終端設備處於正常狀態，確定所述終端設備通過可信性驗證。 　　在一可選實施方式中，驗證模組1003還用於：根據所述使用者ID和預先註冊的所述終端設備對應的使用者資訊，對所述終端設備所屬的使用者進行身分驗證；當所述終端設備所屬的使用者通過身分驗證時，執行根據所述設備ID對所述終端設備進行可信性驗證的操作。 　　在一可選實施方式中，驗證模組1003對所述終端設備進行合法性驗證時，具體用於：當終端設備通過可信性驗證時，利用與入網管理客戶端約定的種子密鑰分別對所述設備ID和至少兩個時間步長中每個時間步長內的時間值進行加密，以產生至少兩個動態密碼；根據所述至少兩個動態密碼和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證；其中，所述至少兩個時間步長包括當前時間步長以及與當前時間步長相距最近的至少一個歷史時間步長。 　　在一可選實施方式中，驗證模組1003還用於：根據所述設備ID判斷已認證設備的映射資料中是否存在所述終端設備上次認證通過所使用的動態密碼；若判斷結果為存在，根據所述終端設備上次認證通過所使用的動態密碼和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證；若判斷結果為不存在，執行利用與入網管理客戶端約定的種子密鑰分別對所述設備ID和至少兩個時間步長中每個時間步長內的時間值進行加密，以產生至少兩個動態密碼的操作。 　　在一可選實施方式中，入網認證裝置還包括：產生模組、加密模組和發送模組。 　　接收模組1001，還用於接收入網管理客戶端發送的註冊請求，所述註冊請求攜帶有所述終端設備的硬體資訊。 　　產生模組，用於根據所述硬體資訊為所述終端設備產生所述設備ID。 　　加密模組，用於對所述設備ID進行加密，產生所述使用者名，並利用所述使用者名和所述設備ID對種子密鑰進行加密，以獲得加密後的種子密鑰。 　　發送模組，用於將所述使用者名、所述設備ID以及所述加密後的種子密鑰發送給所述入網管理客戶端。 　　以上描述了入網認證裝置的內部功能和結構，如圖10b所示，實際中，該入網認證裝置可實現為認證伺服器，包括：儲存器1004、處理器1005以及通信組件1006。 　　儲存器1004，可被配置為儲存其它各種資料以支援在認證伺服器上的操作。這些資料的示例包括用於在認證伺服器上操作的任何應用程式或方法的指令，連絡人資料，電話簿資料，訊息，圖片，視訊等。 　　儲存器1004可以由任何類型的易失性或非易失性儲存設備或者它們的組合實現，如靜態隨機存取儲存器(SRAM)，電可抹除可程式化唯讀儲存器(EEPROM)，可抹除可程式化唯讀儲存器(EPROM)，可程式化唯讀儲存器(PROM)，唯讀儲存器(ROM)，磁儲存器，快閃儲存器，磁碟或光碟。 　　通信組件1006，用於接收終端設備發送的入網認證請求，所述入網認證請求包括使用者名和動態密碼。 　　處理器1005與儲存器1004耦接，用於執行儲存器1004中的程式，以用於： 　　按照設定的解密算法，對所述使用者名進行解密； 　　根據從所述使用者名中解密出的所述終端設備的設備ID，對所述終端設備進行可信性驗證； 　　根據可信性驗證結果、所述設備ID和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證。 　　其中，處理器1005在執行儲存器1004中的程式時，除了上面功能之外，還可實現其它功能，具體可參見前面各實施例中與認證伺服器相關的描述。 　　進一步，如圖10b所示，認證伺服器還包括：顯示器1007、電源組件1008、音訊組件1009等其它組件。圖10b中僅示意性給出部分組件，並不意味著認證伺服器只包括圖10b所示組件。 　　相應地，本申請實施例還提供一種儲存有電腦程式的電腦可讀儲存媒介，所述電腦程式被電腦執行時能夠實現上述各實施例中與認證伺服器相關的方法步驟或功能。 　　在圖8b、圖9b和圖10b中的通信組件，可被配置為便於通信組件所屬設備和其他設備之間有線或無線方式的通信。通信組件所屬設備可以接入基於通信標準的無線網路，如WiFi，2G或3G，或它們的組合。在一個示例性實施例中，通信組件經由廣播信道接收來自外部廣播管理系統的廣播信號或廣播相關資訊。在一個示例性實施例中，所述通信組件還包括近場通信(NFC)模組，以促進短程通信。例如，在NFC模組可基於射頻識別(RFID)技術，紅外資料協會(IrDA)技術，超寬帶(UWB)技術，藍牙(BT)技術和其他技術來實現。 　　在圖8b、圖9b和圖10b中的顯示器，可以包括屏幕，其屏幕可以包括液晶顯示器(LCD)和觸摸面板(TP)。如果屏幕包括觸摸面板，屏幕可以被實現為觸摸屏，以接收來自使用者的輸入信號。觸摸面板包括一個或多個觸摸傳感器以感測觸摸、滑動和觸摸面板上的手勢。所述觸摸傳感器可以不僅感測觸摸或滑動動作的邊界，而且還檢測與所述觸摸或滑動操作相關的持續時間和壓力。 　　在圖8b、圖9b和圖10b中的電源組件，為電源組件所屬設備的各種組件提供電力。電源組件可以包括電源管理系統，一個或多個電源，及其他與為電源組件所屬設備產生、管理和分配電力相關聯的組件。 　　在圖8b、圖9b和圖10b中的音訊組件，被配置為輸出及/或輸入音訊信號。例如，音訊組件包括一個麥克風(MIC)，當音訊組件所屬設備處於操作模式，如呼叫模式、記錄模式和語音識別模式時，麥克風被配置為接收外部音訊信號。所接收的音訊信號可以被進一步儲存在儲存器或經由通信組件發送。在一些實施例中，音訊組件還包括一個揚聲器，用於輸出音訊信號。 　　本領域內的技術人員應明白，本發明的實施例可提供為方法、系統、或電腦程式產品。因此，本發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且，本發明可採用在一個或多個其中包含有電腦可用程式代碼的電腦可用儲存媒介(包括但不限於磁碟儲存器、CD-ROM、光學儲存器等)上實施的電腦程式產品的形式。 　　本發明是參照根據本發明實施例的方法、設備(系統)、和電腦程式產品的流程圖及/或方塊圖來描述的。應理解可由電腦程式指令實現流程圖及/或方塊圖中的每一流程及/或方塊、以及流程圖及/或方塊圖中的流程及/或方塊的結合。可提供這些電腦程式指令到通用電腦、專用電腦、嵌入式處理機或其他可程式化資料處理設備的處理器以產生一個機器，使得通過電腦或其他可程式化資料處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程及/或方塊圖一個方塊或多個方塊中指定的功能的裝置。 　　這些電腦程式指令也可儲存在能引導電腦或其他可程式化資料處理設備以特定方式工作的電腦可讀儲存器中，使得儲存在該電腦可讀儲存器中的指令產生包括指令裝置的製造品，該指令裝置實現在流程圖一個流程或多個流程及/或方塊圖一個方塊或多個方塊中指定的功能。 　　這些電腦程式指令也可裝載到電腦或其他可程式化資料處理設備上，使得在電腦或其他可程式化設備上執行一系列操作步驟以產生電腦實現的處理，從而在電腦或其他可程式化設備上執行的指令提供用於實現在流程圖一個流程或多個流程及/或方塊圖一個方塊或多個方塊中指定的功能的步驟。 　　還需要說明的是，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，並不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。 　　以上所述僅為本申請的實施例而已，並不用於限制本申請。對於本領域技術人員來說，本申請可以有各種更改和變化。凡在本申請的精神和原理之內所作的任何修改、等同替換、改進等，均應包含在本申請的請求項範圍之內。

10‧‧‧終端設備11‧‧‧處理單元12‧‧‧儲存器13‧‧‧基本配置14‧‧‧外圍設備20‧‧‧認證伺服器21‧‧‧網路30‧‧‧入網管理客戶端40‧‧‧Radius伺服器50‧‧‧NAS設備201‧‧‧步驟202‧‧‧步驟203‧‧‧步驟204‧‧‧步驟205‧‧‧步驟206‧‧‧步驟401‧‧‧步驟402‧‧‧步驟403‧‧‧步驟404‧‧‧步驟405‧‧‧步驟406‧‧‧步驟407‧‧‧步驟408‧‧‧步驟409‧‧‧步驟410‧‧‧步驟411‧‧‧步驟412‧‧‧步驟413‧‧‧步驟414‧‧‧步驟415‧‧‧步驟416‧‧‧步驟417‧‧‧步驟418‧‧‧步驟419‧‧‧步驟420‧‧‧步驟421‧‧‧步驟422‧‧‧步驟501‧‧‧步驟502‧‧‧步驟503‧‧‧步驟601‧‧‧步驟602‧‧‧步驟603‧‧‧步驟701‧‧‧步驟702‧‧‧步驟703‧‧‧步驟704‧‧‧步驟81‧‧‧獲取模組82‧‧‧加密模組83‧‧‧提供模組84‧‧‧儲存器85‧‧‧處理器86‧‧‧通信組件87‧‧‧顯示器88‧‧‧電源組件89‧‧‧音訊組件90‧‧‧音訊組件91‧‧‧發送模組92‧‧‧獲取模組93‧‧‧產生模組95‧‧‧儲存器96‧‧‧處理器97‧‧‧通信組件98‧‧‧顯示器99‧‧‧電源組件1001‧‧‧接收模組1002‧‧‧解密模組1003‧‧‧驗證模組1004‧‧‧儲存器1005‧‧‧處理器1006‧‧‧通信組件1007‧‧‧顯示器1008‧‧‧電源組件1009‧‧‧音訊組件

此處所說明的圖式用來提供對本申請的進一步理解，構成本申請的一部分，本申請的示意性實施例及其說明用於解釋本申請，並不構成對本申請的不當限定。在圖式中： 　　圖1為本申請一示例性實施例提供的示例性入網認證系統的結構示意圖； 　　圖2為本申請另一示例性實施例提供的入網管理客戶端向認證伺服器進行註冊的流程示意圖； 　　圖3為本申請又一示例性實施例提供的示例性入網認證系統的結構示意圖； 　　圖4為本申請又一示例性實施例提供的示例性入網認證方法的流程示意圖； 　　圖5為本申請又一示例性實施例提供的從入網管理客戶端的角度描述的入網認證方法的流程示意圖； 　　圖6為本申請又一示例性實施例提供的從終端設備的角度描述的入網認證方法的流程示意圖； 　　圖7為本申請又一示例性實施例提供的從認證伺服器的角度描述的入網認證方法的流程示意圖； 　　圖8a為本申請又一示例性實施例提供的示例性入網管理裝置的結構示意圖； 　　圖8b為本申請又一示例性實施例提供的示例性電子設備的結構示意圖； 　　圖9a為本申請又一示例性實施例提供的示例性入網認證裝置的結構示意圖； 　　圖9b為本申請又一示例性實施例提供的示例性終端設備的結構示意圖； 　　圖10a為本申請又一示例性實施例提供的示例性入網認證裝置的結構示意圖； 　　圖10b為本申請又一示例性實施例提供的示例性認證伺服器的結構示意圖。

Claims (15)

1. 一種入網認證方法，其中，包括：根據終端設備的入網指令，獲取所述終端設備的設備ID以及由所述設備ID加密得到的使用者名，所述設備ID是認證伺服器為所述終端設備產生的；利用與所述認證伺服器約定的種子密鑰對所述設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼；將所述使用者名和所述動態密碼提供給所述終端設備，以供所述終端設備產生入網認證請求併發往所述認證伺服器進行入網認證。
2. 根據請求項1所述的方法，其中，所述將所述使用者名和所述動態密碼提供給所述終端設備，包括：將所述使用者名和所述動態密碼填充至所述終端設備提供的入網資訊頁面中；或者將所述使用者名和所述動態密碼輸出至本端頁面上，並根據使用者的存取請求，向所述使用者展示所述本端頁面，以供所述使用者從所述本端頁面中將所述使用者名和所述動態密碼複製到所述終端設備提供的入網資訊頁面中。
3. 根據請求項1或2所述的方法，其中，所述種子密鑰由獨立的加密工具維護管理； 所述利用與所述認證伺服器約定的種子密鑰對所述設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼，包括：將所述設備ID和當前時間步長內的時間值發送給所述加密工具，以使所述加密工具利用所述種子密鑰對所述設備ID和當前時間步長內的時間值進行加密並輸出所述動態密碼。
4. 根據請求項3所述的方法，其中，在根據終端設備的入網指令，獲取所述終端設備的設備ID以及由所述設備ID加密得到的使用者名之前，所述方法還包括：向所述認證伺服器發送註冊請求，所述註冊請求包括所述終端設備的硬體資訊，所述硬體資訊用於供所述認證伺服器為所述終端設備產生所述設備ID；接收所述認證伺服器下發的所述使用者名、所述設備ID以及由所述使用者名和所述設備ID加密後的種子密鑰；將所述設備ID以及所述使用者名儲存在本地空間中，並將由所述使用者名和所述設備ID加密後的種子密鑰發送至所述加密工具，以供所述加密工具解密出所述種子密鑰。
5. 根據請求項4所述的方法，其中，所述註冊請求還包括：所述終端設備對應的使用者資訊；所述使用者資訊用於供所述認證伺服器為所述終端設備產生使用者ID。
6. 一種入網認證方法，其中，包括：響應於入網觸發操作，向入網管理客戶端發送入網指令，以指示所述入網管理客戶端為本端的終端設備提供入網所需的使用者名和動態密碼；獲取所述入網管理客戶端提供的所述使用者名和所述動態密碼；所述使用者名由所述終端設備的設備ID加密得到，所述動態密碼由所述設備ID和當前時間步長內的時間值加密得到，所述設備ID是認證伺服器為所述終端設備產生的；根據所述使用者名和所述動態密碼，產生入網認證請求，並將所述入網認證請求發送給所述認證伺服器，以供所述認證伺服器對所述終端設備進行入網認證。
7. 根據請求項6所述的方法，其中，還包括：在響應於所述入網觸發操作時，展示一入網資訊頁面，以獲取所述使用者名和所述動態密碼；所述獲取所述入網管理客戶端提供的所述使用者名和所述動態密碼，包括：從所述入網資訊頁面中獲取所述使用者名和所述動態密碼；其中，所述使用者名和所述動態密碼是由所述入網管理客戶端填充至所述入網資訊頁面中，或者由所述使用者從所述入網管理客戶端的頁面中複製到所述入網資訊頁面 中。
8. 一種入網認證方法，其中，包括：接收終端設備發送的入網認證請求，所述入網認證請求包括使用者名和動態密碼；按照設定的解密算法，對所述使用者名進行解密；根據從所述使用者名中解密出的所述終端設備的設備ID，對所述終端設備進行可信性驗證，所述動態密碼是由所述設備ID和產生所述動態密碼時當前時間步長內的時間值加密得到的；根據可信性驗證結果、所述設備ID和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證。
9. 根據請求項8所述的方法，其中，所述根據從所述使用者名中解密出的所述終端設備的設備ID，對所述終端設備進行可信性驗證，包括：當從所述使用者名中成功解密出所述設備ID時，根據所述設備ID查找註冊設備列表，所述註冊設備列表儲存有已註冊設備的設備ID；若從所述註冊設備列表中查詢到所述設備ID，查詢設備狀態列表，所述設備狀態列表儲存有已註冊設備的狀態；若從所述設備狀態列表中查詢到所述終端設備處於正常狀態，確定所述終端設備通過可信性驗證。
10. 根據請求項8所述的方法，其中，所述使用者名中還包括：所述終端設備對應的使用者ID；在根據從所述使用者名中解密出的所述終端設備的設備ID，對所述終端設備進行可信性驗證之前，所述方法還包括：根據所述使用者ID和預先註冊的所述終端設備對應的使用者資訊，對所述終端設備所屬的使用者進行身分驗證；當所述終端設備所屬的使用者通過身分驗證時，執行根據所述設備ID對所述終端設備進行可信性驗證的操作。
11. 根據請求項8所述的方法，其中，所述根據可信性驗證結果、所述設備ID和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證，包括：當所述終端設備通過可信性驗證時，利用與入網管理客戶端約定的種子密鑰分別對所述設備ID和至少兩個時間步長中每個時間步長內的時間值進行加密，以產生至少兩個動態密碼；根據所述至少兩個動態密碼和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證；其中，所述至少兩個時間步長包括當前時間步長以及與當前時間步長相距最近的至少一個歷史時間步長。
12. 一種電子設備，其中，包括：儲存器以及處理器；所述儲存器，用於儲存程式；所述處理器，與所述儲存器耦接，用於執行所述儲存器中的所述程式，以用於：根據終端設備的入網指令，獲取所述終端設備的設備ID以及由所述設備ID加密得到的使用者名，所述設備ID是認證伺服器為所述終端設備產生的；利用與所述認證伺服器約定的種子密鑰對所述設備ID和當前時間步長內的時間值進行加密，以獲得動態密碼；將所述使用者名和所述動態密碼提供給所述終端設備，以供所述終端設備產生入網認證請求併發往所述認證伺服器進行入網認證。
13. 一種終端設備，其中，包括：儲存器、處理器以及通信組件；所述儲存器，用於儲存程式；所述處理器，與所述儲存器耦接，用於執行所述儲存器中的所述程式，以用於：響應於入網觸發操作，控制所述通信組件向入網管理客戶端發送入網指令，以指示所述入網管理客戶端為所述終端設備提供入網所需的使用者名和動態密碼；獲取所述入網管理客戶端提供的所述使用者名和所述動態密碼；所述使用者名由所述終端設備的設備ID加密得到，所述動態密碼由所述設備ID和當前時間步長內的時間 值加密得到，所述設備ID是認證伺服器為所述終端設備產生的；根據所述使用者名和所述動態密碼，產生入網認證請求，並控制所述通信組件將所述入網認證請求發送給所述認證伺服器，以供所述認證伺服器對所述終端設備進行入網認證；所述通信組件，用於向所述入網管理客戶端發送所述入網指令，並將所述入網認證請求發送給所述認證伺服器。
14. 一種認證伺服器，其中，儲存器、通信組件以及處理器；所述儲存器，用於儲存程式；所述通信組件，用於接收終端設備發送的入網認證請求，所述入網認證請求包括使用者名和動態密碼；所述處理器，與所述儲存器耦接，用於執行所述儲存器中的所述程式，以用於：按照設定的解密算法，對所述使用者名進行解密；根據從所述使用者名中解密出所述終端設備的設備ID，對所述終端設備進行可信性驗證，所述動態密碼是由所述設備ID和產生所述動態密碼時當前時間步長內的時間值加密得到的；根據可信性驗證結果、所述設備ID和所述入網認證請求中的動態密碼，對所述終端設備進行合法性驗證。
15. 一種認證系統，其中，包括：終端設備、入網管理客戶端以及認證伺服器；所述終端設備，用於響應於入網觸發操作，向所述入網管理客戶端發送入網指令；獲取所述入網管理客戶端提供的使用者名和動態密碼；以及根據所述使用者名和所述動態密碼，產生入網認證請求，並將所述入網認證請求發送給所述認證伺服器；所述入網管理客戶端，用於根據所述入網指令，獲取所述終端設備的設備ID以及所述使用者名；利用與所述認證伺服器約定的種子密鑰對所述設備ID和當前時間步長內的時間值進行加密，以獲得所述動態密碼；以及將所述使用者名和所述動態密碼提供給所述終端設備；所述使用者名由所述設備ID加密得到的；所述認證伺服器，用於接收所述入網認證請求，所述入網認證請求包括所述使用者名和所述動態密碼；根據從所述使用者名中解密出的所述設備ID，對所述終端設備進行可信性驗證；以及根據可信性驗證結果、所述設備ID和所述動態密碼，對所述終端設備進行合法性驗證。

Images