WO2019015500A1

WO2019015500A1 - 入网认证方法、装置及***

Info

Publication number: WO2019015500A1
Application number: PCT/CN2018/094933
Authority: WO
Inventors: 殷鸿展
Original assignee: 阿里巴巴集团控股有限公司
Priority date: 2017-07-20
Filing date: 2018-07-09
Publication date: 2019-01-24
Also published as: TW201909614A; US20200169548A1; US11616775B2; CN109286932B; TWI756439B; CN109286932A

Abstract

本申请实施例提供一种入网认证方法、装置及***。入网认证方法主要包括：由入网管理客户端利用终端设备的设备ID加密得到用户名，并利用设备ID和时间步长内的时间值加密得到动态密码，使得终端设备以所述用户名和动态密码进行入网认证。设备ID由认证服务器为终端设备唯一分配，所以对终端设备具有身份标识作用，这使得入网认证可不依赖于数字证书，在满足入网安全性需求的同时，解决了终端设备因不支持或无法使用数字证书导致无法完成入网认证的问题。

Description

入网认证方法、装置及***

本申请要求2017年07月20日递交的申请号为201710595977.6、发明名称为“入网认证方法、装置及***”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络技术领域，尤其涉及一种入网认证方法、装置及***。

背景技术

随着无线局域网(Wireless Local Area Networks，WLAN)的广泛应用，为了解决WLAN的用户接入认证问题，出现了网络准入控制(Network Admission Control，NAC)体系。NAC体系能够对接入WLAN的终端进行严格、高细粒度的管控，保证合法以及安全的终端入网，降低WLAN的安全风险。

802.1X是NAC体系常用的入网认证技术。802.1X采用的可扩展身份验证协议(Extensible Authentication Protocol，EAP)认证方式包括：EAP-MD5、EAP-PEAP、EAP-TLS、EAP-TTLS以及EAP-LEAP。其中，EAP-TLS认证方式是一种基于证书的双向认证方式，其在安全性、实用性等方面都占据优势，因此成为众多企业首选的入网认证方式。

EAP-TLS认证方式需要使用数字证书，来验证设备身份。但在实际场景中，特别是在终端设备一侧，经常出现不支持或无法使用数字证书等问题，造成无法完成入网认证。因此，需要一种既能兼容各种设备，又能满足设备识别、安全性等需求的入网认证方案。

发明内容

本申请的多个方面提供一种入网认证方法、装置及***，用以对终端设备进行入网认证，满足设备识别、安全性等需求，同时解决设备兼容问题。

本申请实施例提供一种入网认证方法，包括：

根据终端设备的入网指令，获取所述终端设备的设备ID以及由所述设备ID加密得到的用户名，所述设备ID是认证服务器为所述终端设备生成的；

利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密，以获得动态密码；

将所述用户名和所述动态密码提供给所述终端设备，以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。

本申请实施例还提供一种入网认证方法，包括：

响应于入网触发操作，向入网管理客户端发送入网指令，以指示所述入网管理客户端为本端的终端设备提供入网所需的用户名和动态密码；

获取所述入网管理客户端提供的所述用户名和所述动态密码；所述用户名由所述终端设备的设备ID加密得到，所述动态密码由所述设备ID和当前时间步长内的时间值加密得到，所述设备ID是认证服务器为所述终端设备生成的；

根据所述用户名和所述动态密码，生成入网认证请求，并将所述入网认证请求发送给所述认证服务器，以供所述认证服务器对所述终端设备进行入网认证。

本申请实施例还提供一种入网认证方法，包括：

接收终端设备发送的入网认证请求，所述入网认证请求包括用户名和动态密码；

按照设定的解密算法，对所述用户名进行解密；

根据从所述用户名中解密出的所述终端设备的设备ID，对所述终端设备进行可信性验证；

根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码，对所述终端设备进行合法性验证。

本申请实施例还提供一种电子设备，包括：存储器以及处理器；

所述存储器，用于存储程序；

所述处理器，与所述存储器耦合，用于执行所述存储器中的所述程序，以用于：

本申请实施例还提供一种终端设备，包括：存储器、处理器以及通信组件；

所述存储器，用于存储程序；

响应于入网触发操作，控制所述通信组件向入网管理客户端发送入网指令，以指示所述入网管理客户端为所述终端设备提供入网所需的用户名和动态密码；

根据所述用户名和所述动态密码，生成入网认证请求，并控制所述通信组件将所述入网认证请求发送给所述认证服务器，以供所述认证服务器对所述终端设备进行入网认证；

所述通信组件，用于向所述入网管理客户端发送所述入网指令，并将所述入网认证请求发送给所述认证服务器。

本申请实施例还提供一种认证服务器，包括：存储器、通信组件以及处理器；

所述存储器，用于存储程序；

所述通信组件，用于接收终端设备发送的入网认证请求，所述入网认证请求包括用户名和动态密码；

按照设定的解密算法，对所述用户名进行解密；

本申请实施例还提供一种认证***，包括：终端设备、入网管理客户端以及认证服务器；

所述终端设备，用于响应于入网触发操作，向所述入网管理客户端发送入网指令；获取所述入网管理客户端提供的用户名和动态密码；以及根据所述用户名和所述动态密码，生成入网认证请求，并将所述入网认证请求发送给所述认证服务器；

所述入网管理客户端，用于根据所述入网指令，获取所述设备ID以及所述用户名；利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密，以获得所述动态密码；以及将所述用户名和所述动态密码提供给所述终端设备；所述用户名由所述设备ID加密得到的；

所述认证服务器，用于接收所述入网认证请求，所述入网认证请求包括所述用户名和所述动态密码；根据从所述用户名中解密出的所述设备ID，对所述终端设备进行可信性验证；以及根据可信性验证结果、所述设备ID和所述动态密码，对所述终端设备进行合法性验证。

在本申请实施例中，由入网管理客户端利用终端设备的设备ID加密得到用户名，并利用设备ID和时间步长内的时间值加密得到动态密码，使得终端设备以所述用户名和动态密码进行入网认证。由于设备ID由认证服务器为终端设备唯一分配，所以对终端设备具有身份标识作用。因此，对认证服务器来说，一方面可根据用户名中的设备ID识别设备身份，而无需数字证书，解决了终端设备因不支持或无法使用数字证书导致无法完成入网认证的问题，适用于各种类型的设备进行入网认证；另一方面相比于静态域密码，基于与设备ID相结合的动态密码进行入网认证，安全性更高，满足安全性需求。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请一示例性实施例提供的示例性入网认证***的结构示意图；

图2为本申请另一示例性实施例提供的入网管理客户端向认证服务器进行注册的流程示意图；

图3为本申请又一示例性实施例提供的示例性入网认证***的结构示意图；

图4为本申请又一示例性实施例提供的示例性入网认证方法的流程示意图；

图5为本申请又一示例性实施例提供的从入网管理客户端的角度描述的入网认证方法的流程示意图；

图6为本申请又一示例性实施例提供的从终端设备的角度描述的入网认证方法的流程示意图；

图7为本申请又一示例性实施例提供的从认证服务器的角度描述的入网认证方法的流程示意图；

图8a为本申请又一示例性实施例提供的示例性入网管理装置的结构示意图；

图8b为本申请又一示例性实施例提供的示例性电子设备的结构示意图；

图9a为本申请又一示例性实施例提供的示例性入网认证装置的结构示意图；

图9b为本申请又一示例性实施例提供的示例性终端设备的结构示意图；

图10a为本申请又一示例性实施例提供的示例性入网认证装置的结构示意图；

图10b为本申请又一示例性实施例提供的示例性认证服务器的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在现有技术中，因为EAP-TLS认证方式在安全性、实用性等方面的优势，成为众多企业首选的入网认证方式。但是，因为EAP-TLS认证方式需要使用数字证书来验证入网设备的身份，而对一些终端设备来说，经常出现不支持或无法使用数字证书等问题，造成无法完成入网认证。

针对上述技术问题，本申请实施例提供一种解决方案，主要原理是：由认证服务器为终端设备分配可唯一标识所述终端设备的设备ID，结合入网管理客户端，由入网管理客户端为终端设备提供由终端设备的设备ID加密得到用户名和动态密码，终端设备以所述用户名和动态密码进行入网认证。对认证服务器来说，一方面可根据用户名中的设备ID识别终端设备的身份，另一方面基于与设备ID相结合的动态密码进行入网认证，安全性更高，满足安全性需求。

以下结合附图，详细说明本申请各实施例提供的技术方案。

图1为本申请一示例性实施例提供的示例性入网认证***的结构示意图。如图1所示，该***包括：终端设备10、认证服务器20以及入网管理客户端30。终端设备10可与认证服务器20以有线方式或无线方式连接。

认证服务器20隶属于一网络21，主要负责其所属网络21的入网认证管控，确保网络21的安全。认证服务器20可以是任何可提供计算服务，能够响应服务请求，并进行处理的设备，例如可以是常规服务器、云服务器、云主机、虚拟中心等。服务器的构成主要包括处理器、硬盘、内存、***总线等，和通用的计算机架构类似。

终端设备10可以是智能手机、平板电脑、个人电脑、穿戴设备等。终端设备10通常包括至少一个处理单元11和至少一个存储器12。处理单元11和存储器12的数量取决于终端设备10的配置和类型。存储器12可以包括易失性的，例如RAM，也可以包括非易失性的，例如只读存储器(Read-Only Memory，ROM)、闪存等，或者也可以同时包括两种类型的。存储器12内通常存储有操作***(Operating System，OS)、一个或多个应用程序，也可以存储有程序数据等。除了处理单元11和存储器12之外，终端设备还包括一些基本配置13，例如网卡芯片、IO总线、音视频组件等。可选地，终端设备10还可以包括一些***设备14，例如键盘、鼠标、输入笔、打印机等。这些***设备在本领域中是总所周知的，在此不做赘述。

在本示例性的入网认证***中，终端设备10可以接入认证服务器20所属的网络21，但需要通过入网认证。其中，终端设备10主要用于根据用户名和动态密码向认证服务器20发起入网认证请求；入网管理客户端30主要用于向终端设备10提供入网认证所需的用户名和动态密码；认证服务器20主要用于根据入网认证请求对终端设备10进行入网认证。值得一提的是，终端设备10的入网操作属于***级操作，可由终端设备的OS负责处理。

另外，入网管理客户端30可以独立于终端设备10实现，或者也可以安装于终端设备10上实现。在图1所示入网认证***中，以入网管理客户端30安装于终端设备10上实现为例。如图1所示，当入网管理客户端30安装于终端设备10上实现时，该入网管理客户端30存储于存储器12中。终端设备10与入网管理客户端30相配合，可以实现以设备身份和动态密码进行入网认证。

当用户需要通过终端设备10接入认证服务器20所属网络21时，可通过终端设备10发出入网触发操作。例如，用户可以通过终端设备10上的设置选项发出入网触发操作。在一示例性的设备实现中，终端设备10向用户提供了设置选项，用户点击该设置选项可进入设置页面，设置页面上包括OS支持的各种功能设置项，例如声音、墙纸、电池、局域网/Wi-Fi、运营商等设置项。用户继续点击局域网/Wi-Fi设置项，以进入局域网/Wi-Fi设置页面。此时，终端设备10会自动搜索附近的信号强度符合设定要求的网络信息并将网络信息显示于局域网/Wi-Fi设置页面上。在本实施例中，假设终端设备10搜索到的网络信息包括认证服务器20所属网络21。用户通过点击局域网/Wi-Fi设置页面上网络21的信息，即触发接入网络21的操作。

终端设备10可响应于入网触发操作，开始进行入网处理。终端设备10向入网管理客户端30发送入网指令，以指示入网管理客户端30为终端设备10提供入网所需的用户名和动态密码。入网管理客户端30接收入网指令，根据该入网指令，开始获取用户名和动态密码的操作。一方面，入网管理客户端30获取由认证服务器20为终端设备10生成的可唯一标识终端设备10的设备ID，并获取由设备ID加密得到的用户名；另一方面，入网管理客户端30利用与认证服务器20约定的种子密钥对设备ID和当前时间步长内的时间值进行加密，以获得动态密码。因为密码生成过程与时间因子结合，所以属于动态密码，并且该动态密码是一次性密码，每次入网都需要重新生成。

之后，入网管理客户端30将用户名和动态密码提供给终端设备10。终端设备10获取入网管理客户端30提供的用户名和动态密码，根据所述用户名和动态密码，生成入网认证请求，并将入网认证请求发送给认证服务器20，以供认证服务器20对终端设备10进行入网认证。

其中，入网管理客户端30可以采用多种实现方式将用户名和动态密码提供给终端设备10。下面举例说明：

在一示例性实现方式中，在用户触发入网操作时，终端设备10向用户展示一入网信息页面，作为获取用户名和动态密码的途径。可选地，该入网信息页面上设置有用户名输入框和密码输入框，用户名输入框用于填充用户名，密码输入框用于填充动态密码。

可选地，对入网管理客户端30来说，在获取到用户名和动态密码之后，可以将用户名和动态密码填充至所述入网信息页面中，以供终端设备10从入网信息页面中提取所述用户名和动态密码。例如，入网管理客户端30可以自动将用户名填充至入网信息页面上的用户名输入框内，并将动态密码填充至入网信息页面上的密码输入框内。这种由入网管理客户端30自动将用户名和动态密码填充至所述入网信息页面中的实施方式，效率较高。

可选地，对入网管理客户端30来说，在获取到用户名和动态密码之后，也可以将用户名和动态密码输出至入网管理客户端30的一页面上，以供用户通过该页面获知用户名和密码。对用户来说，在触发入网操作之后，可以看到终端设备10提供的入网信息页面，进而获知需要输入用户名和动态密码，于是去访问入网管理客户端30提供的包括有用户名和动态密码的页面。对入网管理客户端30来说，可根据用户的访问请求，向用户展示包括有用户名和动态密码的页面，以供用户从所述页面中将用户名和动态密码复制到入网信息页面中。

当上述入网信息页面上填充用户名和动态密码后，终端设备10可以从该入网信息页面中获取所述用户名和动态密码，进而生成入网认证请求并发送给认证服务器20，以供认证服务器20对终端设备10进行入网认证。

认证服务器20接收终端设备10发送的入网认证请求，该入网认证请求包括用户名和动态密码。用户名是由终端设备10的设备ID加密得到的，动态密码是利用约定的种子密钥对终端设备10的设备ID以及终端设备10当时指定时间步长内的时间值进行加密得到的。

之后，认证服务器20对用户名进行解密；若未成功解密用户名，则认证失败，拒绝终端设备10接入网络21；若从用户名中成功解密出终端设备10的设备ID，则根据解密出的设备ID对终端设备10进行可信性验证，因为终端设备10的ID是认证服务器20唯一生成的，所以基于终端设备10的设备ID可以达到识别终端设备10的目的。若终端设备10未通过可信性验证，则认证失败，拒绝终端设备10接入网络21；若终端设备10通过可信性验证，则可以根据设备ID和入网认证请求中的动态密码，对终端设备10进行合法性验证。若终端设备10通过合法性验证，允许终端设备10接入网络21；若终端设备10未通过合法性验证，拒绝终端设备10接入网络21。

由上述可见，在本示例性的入网认证***中，由入网管理客户端30为终端设备10提供由终端设备的设备ID加密得到用户名和动态密码，终端设备10以所述用户名和动态密码进行入网认证，实际上是以设备ID和动态密码进行入网认证。从认证服务器20的角度来看，一方面可根据用户名中的设备ID识别终端设备的身份，另一方面基于与设备ID相结合的动态密码进行入网认证，安全性更高，满足安全性需求。

在一示例性应用场景中，在终端设备10进行入网认证之前，入网管理客户端30可以预先向认证服务器20进行注册，通过该注册过程预先获得用户名、设备ID和种子密钥等数据。如图2所示，一种入网管理客户端30向认证服务器20进行注册的流程包括以下步骤：

201、入网管理客户端30向认证服务器20发送注册请求，所述注册请求携带有终端设备10的硬件信息。

此处不对硬件信息进行限定，凡是与终端设备10相关的硬件信息均适用于本实施例，例如可以是与终端设备10的中央处理单元(Central Processing Unit，CPU)、显卡、硬盘等相关的信息。

可选地，注册请求中还可以包括终端设备10对应的用户信息和/或企业信息。

202、认证服务器20接收注册请求，从中解析出终端设备10的硬件信息，并根据所述硬件信息生成可唯一标识终端设备10的设备ID，记为UMID。

可选地，当注册请求中包括用户信息和/或企业信息时，认证服务器20可以存储终端设备10对应的用户信息和/或企业信息，并且还可以根据该用户信息和/或企业信息为终端设备生成用户ID(User ID，UID)和/或企业ID(Customer Identity，CID)。其中，UID用于唯一标识终端设备10所属的用户；CID用户唯一标识终端设备10所属的企业。

例如，用户信息可以包括但不限于：用户注册的账号、密码、用户的邮箱、手机号码、昵称等信息。企业信息可以包括但不限于：用户注册的账号、密码、企业注册地、企业名称、企业性质、企业规模等信息。

203、认证服务器20采用设定的加密算法生成两个动态令牌(token)，即令牌密钥(TokenKey，TK)和进程令牌(ProcessToken，PT)。

其中，TK可作为终端设备10入网认证时所需的用户名，由UMID加密得到。PT可作为加密后的种子密钥，可由UMID、TK以及种子密钥加密得到。

可选地，可以采用Blowfish加密算法对UMID进行加密以生成TK。

可选地，可以采用AES-128加密算法对UMID、TK以及种子密钥加密以生成PT。

进一步，当认证服务器20为终端设备生成CID、UID和UMID时，可以同时结合CID、UID和UMID来生成TK和PT。其中，结合CID、UID和UMID生成TK和PT的加密公式分别如下：

TK＝Blowfish(CID+UID+UMID+RANDOM+TIME，(app_secret))

PT＝TK+AES128(CID+UID+UMID，(app_secret))

在上述加密公式中，app_secret表示入网管理客户端30与认证服务器20约定的种子密钥。该种子密钥可以是入网管理客户端30的API接口密钥，与入网管理客户端30一一对应。

204、认证服务器向入网管理客户端30发送TK、PT以及UMID。

205、入网管理客户端30接收TK、PT以及UMID，并将UMID、TK保存在本地空间中。

206、入网管理客户端30向独立的加密工具发送PT，由加密工具对PT解密获得种子密钥并存储种子密钥。

其中，加密工具对入网管理客户端30以及认证服务器20来说是一个黑匣子，其采用的加密算法以及存储种子密钥的方式对外不可见，且加密工具具有防篡改功能，而且在不安全的情况下禁止被访问或使用，这样可以降低种子密钥被破解的风险，保证种子密钥的安全性，进而可提高入网认证的安全性。对入网管理客户端30和认证服务器来说，在需要时只需调用加密工具即可。

基于上述注册流程，入网管理客户端30可以预先将终端设备10的设备ID和用户名保存至本地空间中。因此，当接收到入网指令时，入网管理客户端30可直接从本地空间中读取终端设备10的设备ID和用户名。除该实施方式之外，入网管理客户端30也可以在接收到入网指令时，实时地向认证服务器20请求终端设备10的设备ID和用户名。例如，如果认证服务器20未在上述注册流程中向入网管理客户端30下发终端设备10的设备ID和用户名，则入网管理客户端30在接收到入网指令时，需要实时地向认证服务器20请求终端设备10的设备ID和用户名。其中，由认证服务器20向入网管理客户端30下发终端设备10的设备ID和用户名，加密算法只需保存在认证服务器20一端，有利于降低加密算法被破解的概率，进而提高设备ID和用户名的安全性。

进一步可选地，在上述注册流程中，认证服务器20可以通过注册设备列表存储已注册设备的设备ID，并通过设备状态列表存储已注册设备的状态，例如已注册、已删除、被冻结、被禁用等。其中，注册设备列表和设备状态列表可以是同一列表，也可以是相互独立的两个列表。

基于上述注册设备列表和设备状态列表，认证服务器20可以结合注册设备列表和设备状态列表，对终端设备10进行可信性验证。一种可选实施方式包括：当从用户名中成功解密出终端设备10的设备ID时，认证服务器20根据解密出的设备ID查找注册设备列表，以判断终端设备10是否已经注册；如果从注册设备列表中查询到所述解密出的设备ID，进一步查询设备状态列表，以判断终端设备10的状态是否正常；如果从设备状态列表中查询到终端设备10处于正常状态，确定终端设备10通过可信性验证。如果未从注册设备列表中查询到所述解密出的设备ID，或者从设备状态列表中查询到终端设备10处于异常状态，例如被删除、被禁用、被冻结，则确定终端设备10未通过可信性验证。

在一可选实施方式中，认证服务器20在生成用户名(即TK)的过程可以同时结合CID和/或UID。基于此，认证服务器20除了可以从用户名中解密出UMID之外，还可以从用户名中解密出UID和/或CID。为了提高网络安全性，可以从设备角度、用户角度以及企业角度进行多因素认证。基于此，认证服务器20在对终端设备10进行可信性验证之前，可以根据UID和预先注册的用户信息和/或企业信息，对终端设备10所属的用户和/或企业进行身份验证；例如，可以判断从用户名中解密出的UID和/或CID是否与预先注册的用户信息和/或企业信息相匹配，如果相匹配，确定终端设备10所属的用户和/或企业通过身份验证；如果不匹配，确定终端设备10所属的用户和/或企业未通过身份验证。当终端设备10所属的用户和/或企业通过身份验证时，再对终端设备10进行可信性验证。

在上述实施例或下述实施例中，在终端设备10通过可信性验证之后，认证服务器20需要根据设备ID和入网认证请求中的动态密码对终端设备10进行合法性验证。

一种对终端设备10进行合法性验证的实施方式包括：认证服务器20可以确定至少两个时间步长，其中，所述至少两个时间步长包括当前时间步长以及与当前时间步长相距最近的至少一个历史时间步长；对至少两个时间步长中的每个时间步长，利用与入网管理客户端30约定的种子密钥对解密出的设备ID和每个时间步长内的时间值进行加密，以生成至少两个动态密码；根据至少两个动态密码和入网认证请求中的动态密码，对终端设备进行合法性验证。例如，可以将至少两个动态密码与入网认证请求中携带的动态密码进行比较；若至少两个动态密码中存在与入网认证请求中携带的动态密码相同的动态密码，则确定终端设备10通过合法性验证；若至少两个动态密码中不存在与入网认证请求中携带的动态密码相同的动态密码，则确定终端设备10未通过合法性验证。

进一步可选地，认证服务器20可以存储已认证设备的映射数据。这里已认证设备包括当前在线的已认证设备，也包括已下线的历史已认证设备。已认证设备的映射数据包括但不限于：已认证设备的设备ID、媒体访问控制(Media Access Control，MAC)地址、UID、CID、认证通过时所使用的动态密码等数据。基于此，认证服务器20可以结合已认证设备的映射数据对终端设备进行合法性验证。

另一种对终端设备10进行合法性验证的实施方式包括：认证服务器20根据从用户名中解密出的设备ID判断已认证设备的映射数据中是否存在终端设备上次认证通过所使用的动态密码。若已认证设备的映射数据中存在终端设备上次认证通过所使用的动态密码，则根据终端设备上次认证通过所使用的动态密码和入网认证请求中携带的动态密码，对终端设备10进行合法性验证。例如，可以将终端设备上次认证通过所使用的动态密码与入网认证请求中携带的动态密码进行比较；若两者相同，则确定终端设备10通过合法性验证；若两者不相同，则确定终端设备10未通过合法性验证。

若已认证设备的映射数据中不存在终端设备上次认证通过所使用的动态密码，则认证服务器20确定至少两个时间步长，利用与入网管理客户端30约定的种子密钥分别对设备ID和每个时间步长内的时间值进行加密，以获得至少两个动态密码；将至少两个动态密码与入网认证请求中携带的动态密码进行比较；若至少两个动态密码中存在与入网认证请求中携带的动态密码相同的动态密码，则确定终端设备10通过合法性验证；若至少两个动态密码中不存在与入网认证请求中携带的动态密码相同的动态密码，则确定终端设备10未通过合法性验证。

可选地，在上述认证过程中，认证服务器20也可以将设备ID以及当前时间步长或历史时间步长内的时间值发送给加密工具，以使加密工具利用预先约定的种子密钥对设备ID以及当前时间步长或历史时间步长内的时间值进行加密，从而获得动态密钥。

值得说明的是，动态密码具有一定时效性，当时效性结束时，该动态密码就会失效，故会被删除。在同一个时间步长内，动态密码生成的结果是一样的。对认证服务器20来说，并不知道入网认证请求中携带的动态密码是在哪个时间步长内生成的，而且由于网络的原因，动态密码生成端(即入网管理客户端30)的时间和认证服务器20接收到动态密码的时间可能差距会很大，有可能使得这两个时间不在同一个时间步长内。例如，可能存在这种情况：入网管理客户端30在一个时间步长的结尾时刻生成动态密码，认证服务器20在下一个时间步长的开始时刻接收到该动态密码，这种情况属于合理情况。基于此，考虑到传输时延，在上述计算动态密码的过程中不仅考虑当前时间步长，而且考虑与当前时间步长相邻的历史时间步长，历史时间步长可以是一个或多个。历史时间步长的个数越多，被攻击的风险就越大，因此历史时间步长的个数可视网络的风险容忍程度而定。

进一步，认证服务器20在获得终端设备10的认证结果之后，还可以向终端设备10返回认证结果。所述认证结果包括：终端设备10通过认证，或终端设备10未通过认证。

图1所示入网认证***可在802.1X协议框架下部署实施。可选地，图1所示入网认证***还可与802.1X协议中的EAP-PEAP认证方式相结合，以EAP-PEAP作为载体形成一种新的认证方式，但并不限于与EAP-PEAP认证方式相结合。基于此，如图3所示，另一种示例性的入网认证***主要包括：终端设备10、认证服务器20、入网管理客户端30、Radius服务器40以及网络附属存储(Network Attached Storage，NAS)设备50。终端设备10通过NAS设备50与Radius服务器40连接，Radius服务器40与认证服务器20连接。

值得说明的是，图3所示入网认证***中，除了终端设备10、NAS设备50、Radius服务器30以及认证服务器20之外，还可以包括网关等其它一些网络设备，在此不做赘述，具体可视网络部署情况而定。

在图3所示示例性的入网认证***中，终端设备10、认证服务器20以及入网管理客户端30的功能基本不变。终端设备10仍旧主要用于根据用户名和动态密码向认证服务器20发起入网认证请求，发起过程参见前面的描述；入网管理客户端30仍旧主要用于向终端设备10提供入网认证所需的用户名和动态密码；认证服务器20仍旧主要用于对终端设备10进行入网认证，认证过程参见前面的描述。区别在于：终端设备10与认证服务器20之间的交互数据需要封装为远程用户拨号认证***(Remote authentication dial in user service，Radius)协议报文，并通过Radius服务器40进行转发。

Radius是一种客户端/服务器(C/S)结构的协议，Radius服务器40和NAS设备50分别是Radius协议下的服务器和客户端。其中，NAS设备50可以是任何运行Radius客户端软件的设备，主要向远程接入用户(即终端设备10)提供接入及与Radius服务器40交互的服务。在本实施例中，Radius服务器40主要作为认证服务器20的代理，负责Radius协议报文的封装/解封装以及转发，这点不同于传统意义上的Radius服务器。其中，Radius服务器40可以是任何运行Radius服务端软件的设备。

在图3所示入网认证***中，终端设备10可以采用图2所示流程向认证服务器20进行注册，详细流程在此不再赘述。之后，当用户需要通过终端设备10接入认证服务器20所属的网络21时，可进入入网认证流程。可选地，如图4所示，可在图3所示入网认证***中实施的一种认证流程包括以下步骤：

认证初始化阶段：

401、终端设备10响应于用户触发的入网操作，向入网管理客户端30发送入网指令，与此同时，在终端设备的界面上展示入网信息页面。

402、入网管理客户端30可从本地空间中读取UMID以及TK，将TK作为用户名。

403、入网管理客户端30调用加密工具，由加密工具利用种子密钥对UMID和当前时间步长内的时间值进行加密，以获得动态密码。

可选地，时间步长可以是5分钟、3分钟、2分钟等，具体视应用需求而定。

404、入网管理客户端30自动将TK和动态密码填充至入网信息页面上。

405、终端设备10从入网信息页面中获取TK和动态密码。

传输层安全(Transport Layer Security，TLS)通道建立阶段：

406、终端设备10向NAS设备50发送一个EAPoL-Start报文，开始802.1X接入的开始。

407、NAS设备50向终端设备10发送EAP-Request/Identity报文，要求终端设备10上报用户的网络标识。

408、终端设备10向NAS设备50回应一个EAP-Response/Identity报文。

409、NAS设备50以EAPoR(EAP over Radius)的报文格式将EAP-Response/Identity发送给Radius服务器40。

410、Radius服务器40收到EAP-Response/Identity报文，根据配置确定使用EAP-PEAP认证，并向NAS设备50发送RADIUS-Access-Challenge报文，该报文里面含有Radius服务器40发送给终端设备10的EAP-Request/Peap/Start报文，表示希望开始进行EAP-PEAP的认证。

411、NAS设备50将EAP-Request/Peap/Start报文发送给终端设备10。

改进MSCHPAV2认证阶段：

412、终端设备10收到EAP-Request/Peap/Start报文后，按照MSCHPAV2算法对动态密码进行处理，获得一哈希值，记为ntSendResponse，将用户名和哈希值ntSendResponse，封装在EAP-Response/Client Hello报文中发送给NAS设备50。

413、NAS设备50以EAPoR的报文格式将EAP-Response/Client Hello报文发送给Radius服务器40。

414、Radius服务器40收到终端设备10发来的EAP-Response/Client Hello报文后，从中解析出TK和哈希值ntSendResponse。

415、Radius服务器40向认证服务器20发送TK和哈希值ntSendResponse。

416、认证服务器20按照设定的解密算法对用户名进行解密；若成功解密，进入步骤417；若未成功解密，进入步骤421。该解密算法与认证服务器20在注册流程中生成用户名时采用的加密算法相对应。

417、认证服务器20根据从用户名中解密出的设备ID对终端设备10进行可信性验证；若终端设备10通过可信性验证，进入步骤418；若未通过可信性验证，进入步骤421。

418、认证服务器20根据设备ID和哈希值ntSendResponse，对终端设备10进行合法性验证；若通过合法性验证，进入步骤419；若未通过合法性验证，进入步骤421。

在本实施例中，认证服务器20会记录已认证设备的映射数据。已认证设备的映射数据中包括已认证设备的设备ID、MAC地址、用户名、哈希值以及认证过程中所需的哈希密码等信息。基于此，认证服务器20可以根据设备ID判断已认证设备的映射数据中是否存在终端设备10上一次通过认证所使用的哈希密码。

若判断结果为存在，则对终端设备10上一次通过认证所使用的哈希密码做哈希处理得到一哈希值；将该哈希值与哈希值ntSendResponse进行比较；两个哈希值相同，确定终端设备10通过合法性验证；若两个哈希值不相同，确定终端设备10未通过合法性验证。

若判断结果为不存在，根据当前时间，确定当前时间步长以及与当前时间步长相邻的历史时间步长；利用与入网管理客户端30约定的种子密钥对设备ID和所确定的每个时间步长内的时间值进行加密，获得至少两个动态密码；按照MSCHPAV2算法对至少两个动态密码进行处理，获得至少两个哈希密码；进而，对至少两个哈希密码进行哈希处理，获得至少两个哈希值。将至少两个哈希值与哈希值ntSendResponse进行比较；若至少两个哈希值中存在与哈希值ntSendResponse相同的哈希值，确定终端设备10通过合法性验证；若至少两个哈希值中不存在与哈希值ntSendResponse相同的哈希值，确定终端设备10未通过合法性验证。

当确定终端设备10通过合法性验证后，将与哈希值ntSendResponse相同的哈希值所对应的哈希密码存储到终端设备10的映射数据中。

419、认证服务器20通过MSCHPAV2算法生成一个认证通过标识msch_response，并向Radius服务器40发送认证通过标识msch_response。

420、Radius服务器40将认证通过标识msch_response封装在RADIUS-Access-Accept报文中，通过NAS设备50向终端设备10发送RADIUS-Access-Accept报文，结束认证流程。

421、认证服务器20向Radius服务器40发送未通过认证结果，并进入步骤422。

422、Radius服务器40将未通过认证结果封装在RADIUS-Access-Reject报文中，并通过NAS设备50向终端设备10发送RADIUS-Access-Reject报文，结束认证流程。

基于上述图1或图3所示的入网认证***，本申请以下实施例分别从入网管理客户端、终端设备以及认证服务器的角度给出了几种入网认证方法的流程。

从入网管理客户端的角度来看，一种入网认证方法的流程如图5所示，包括以下步骤：

501、根据终端设备的入网指令，获取终端设备的设备ID以及由设备ID加密得到的用户名，设备ID是认证服务器为终端设备生成的。

502、利用与认证服务器约定的种子密钥对设备ID和当前时间步长内的时间值进行加密，以获得动态密码。

503、将用户名和动态密码提供给终端设备，以供终端设备生成入网认证请求并发往认证服务器进行入网认证。

在一可选实施方式中，上述将用户名和动态密码提供给终端设备，包括：

将用户名和动态密码填充至终端设备提供的入网信息页面中；或者

将用户名和动态密码输出至本端页面上，并根据用户的访问请求，向用户展示本端页面，以供用户从本端页面中将用户名和动态密码复制到终端设备提供的入网信息页面中。

在一可选实施方式中，上述种子密钥由独立于本端的加密工具维护管理。基于此，上述利用与认证服务器约定的种子密钥对设备ID和当前时间步长内的时间值进行加密，以获得动态密码，包括：将设备ID和当前时间步长内的时间值发送给加密工具，以使加密工具利用种子密钥对设备ID和当前时间步长内的时间值进行加密并输出动态密码。

在一可选实施方式中，在根据终端设备的入网指令，获取终端设备的设备ID以及由设备ID加密得到的用户名之前，还可以向认证服务器进行注册。在所述注册流程中，入网管理客户端主要执行以下操作：向认证服务器发送注册请求，所述注册请求包括终端设备的硬件信息，所述硬件信息用于供认证服务器为终端设备生成设备ID；接收认证服务器下发的用户名、设备ID以及由用户名和设备ID加密后的种子密钥；将设备ID以及用户名存储在本地空间中，并将由用户名和设备ID加密后的种子密钥发送至加密工具，以供加密工具解密出种子密钥。

在一可选实施方式中，上述注册请求还包括：终端设备对应的用户信息；所述用户信息用于供认证服务器为终端设备生成用户ID。基于此，入网管理客户端还会接收认证服务器下发的用户ID。

从终端设备的角度来看，一种入网认证方法的流程如图6所示，包括以下步骤：

601、响应于入网触发操作，向入网管理客户端发送入网指令，以指示入网管理客户端为本端的终端设备提供入网所需的用户名和动态密码。

602、获取入网管理客户端提供的用户名和动态密码；用户名由终端设备的设备ID加密得到，动态密码由设备ID和当前时间步长内的时间值加密得到，设备ID是认证服务器为终端设备生成的。

603、根据用户名和动态密码，生成入网认证请求，并将入网认证请求发送给认证服务器，以供认证服务器对终端设备进行入网认证。

在一可选实施方式中，在响应入网触发操作时，还可以向用户展示一入网信息页面，以获取用户名和动态密码。基于此，上述获取入网管理客户端提供的用户名和动态密码，包括：从所述入网信息页面中获取用户名和动态密码。其中，用户名和动态密码是由入网管理客户端填充至入网信息页面中，或者由用户从入网管理客户端的页面中复制到入网信息页面中。

从认证服务器的角度来看，一种入网认证方法的流程如图7所示，包括以下步骤：

701、接收终端设备发送的入网认证请求，入网认证请求包括用户名和动态密码。

702、按照设定的加密算法，对所述用户名进行解密。

703、根据从用户名中解密出的终端设备的设备ID，对终端设备进行可信性验证。

704、根据可信性验证结果、设备ID和入网认证请求中的动态密码，对终端设备进行合法性验证。

在一可选实施方式中，上述根据从用户名中解密出的终端设备的设备ID，对终端设备进行可信性验证，包括：当从用户名成功解密出终端设备的设备ID时，根据设备ID查找注册设备列表，注册设备列表存储有已注册设备的设备ID；从注册设备列表中查询到设备ID，查询设备状态列表，设备状态列表存储有已注册设备的状态；若从设备状态列表中查询到终端设备处于正常状态，确定终端设备通过可信性验证。

在一可选实施方式中，上述用户名中还包括：终端设备对应的用户ID。基于此，在根据设备ID对终端设备进行可信性验证之前，还可以根据用户ID和预先注册的终端设备对应的用户信息，对终端设备所属的用户进行合法性验证；当终端设备所属的用户通过合法性验证时，执行根据设备ID对终端设备进行可信性验证的操作。

在一可选实施方式中，上述根据可信性验证结果、设备ID和入网认证请求中的动态密码，对终端设备进行合法性验证，包括：当终端设备通过可信性验证时，利用与入网管理客户端约定的种子密钥分别对设备ID和至少两个时间步长中每个时间步长内的时间值进行加密，以生成至少两个动态密码；根据至少两个动态密码和入网认证请求中的动态密码，对终端设备进行合法性验证；其中，至少两个时间步长包括当前时间步长以及与当前时间步长相距最近的至少一个历史时间步长。

在一可选实施方式中，上述在利用与入网管理客户端约定的种子密钥分别对设备ID和至少两个时间步长中每个时间步长内的时间值进行加密，以获得至少两个动态密码之前，还可以根据设备ID判断已认证设备的映射数据中是否存在终端设备上次认证通过所使用的动态密码；若判断结果为存在，根据终端设备上次认证通过所使用的动态密码和入网认证请求中的动态密码，对终端设备进行合法性验证；若判断结果为不存在，执行利用与入网管理客户端约定的种子密钥分别对设备ID和至少两个时间步长中每个时间步长内的时间值进行加密，以生成至少两个动态密码的操作。

在一可选实施方式中，上述在接收终端设备发送的入网认证请求之前，还包括一注册流程。在所述注册流程中，认证服务器主要执行以下操作：接收入网管理客户端发送的注册请求，所述注册请求携带有终端设备的硬件信息；根据所述注册请求中的硬件信息为终端设备生成设备ID；对所述设备ID进行加密，以生成用户名；利用用户名和设备ID对种子密钥进行加密，以获得加密后的种子密钥；将用户名、设备ID以及加密后的种子密钥发送给入网管理客户端。

需要说明的是，上述实施例所提供方法的各步骤的执行主体均可以是同一设备，或者，该方法也由不同设备作为执行主体。比如，步骤501至步骤503的执行主体可以为设备A；又比如，步骤501和502的执行主体可以为设备A，步骤503的执行主体可以为设备B；等等。

图8a为本申请又一实施例提供的入网管理装置的结构示意图。该入网管理装置可作为前述的入网管理客户端实现。如图8a所示，所述入网管理装置包括：获取模块81、加密模块82和提供模块83。

获取模块81，用于根据终端设备的入网指令，获取所述终端设备的设备ID以及由所述设备ID加密得到的用户名，所述设备ID是认证服务器为所述终端设备生成的。

加密模块82，用于利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密，以获得动态密码。

提供模块83，用于将所述用户名和所述动态密码提供给所述终端设备，以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。

在一可选实施方式中，提供模块83具体用于：将所述用户名和所述动态密码填充至所述终端设备提供的入网信息页面中；或者，将所述用户名和所述动态密码输出至本端页面上，并根据用户的访问请求，向所述用户展示所述本端页面，以供所述用户从所述本端页面中将所述用户名和所述动态密码复制到所述终端设备提供的入网信息页面中。

在一可选实施方式中，种子密钥由独立于本端的加密工具维护管理。基于此，加密模块82具体用于：将所述设备ID和当前时间步长内的时间值发送给所述加密工具，以使所述加密工具利用所述种子密钥对所述设备ID和当前时间步长内的时间值进行加密并输出所述动态密码。

在一可选实施方式中，入网管理装置还包括：发送模块、接收模块和存储模块。

发送模块，向所述认证服务器发送注册请求，所述注册请求包括所述终端设备的硬件信息，所述硬件信息用于供所述认证服务器为所述终端设备生成所述设备ID。

接收模块，用于接收所述认证服务器下发的所述用户名、所述设备ID以及由所述用户名和所述设备ID加密后的种子密钥。

存储模块，用于将所述设备ID以及所述用户名存储在本地空间中，并将由所述用户名和所述设备ID加密后的种子密钥发送至所述加密工具，以供所述加密工具解密出所述种子密钥。

在一可选实施方式中，所述注册请求还包括：所述终端设备对应的用户信息；所述用户信息用于供所述认证服务器为所述终端设备生成用户ID。

以上描述了入网管理装置的内部功能和结构，如图8b所示，实际中，该入网管理装置可实现为电子设备，包括：存储器84以及处理器85。

存储器84，可被配置为存储其它各种数据以支持在电子设备上的操作。这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。

存储器84可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

处理器85与存储器84耦合，用于执行存储器84中的程序，以用于：

其中，处理器85在执行存储器84中的程序时，除了上面的功能之外，还可实现其它功能，具体可参见前面各实施例中与入网管理客户端相关的描述。

进一步，如图8b所示，电子设备还包括：通信组件86、显示器87、电源组件88、音频组件89等其它组件。图8b中仅示意性给出部分组件，并不意味着电子设备只包括图8b所示组件。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，所述计算机程序被计算机执行时能够实现上述各实施例中与入网管理客户端相关的方法步骤或功能。

图9a为本申请又一实施例提供的入网认证装置的结构示意图。该入网认证装置可位于需要入网认证的终端设备的内部实现。如图9a所示，所述入网认证装置包括：发送模块91、获取模块92和生成模块93。

发送模块91，用于响应于入网触发操作，向入网管理客户端发送入网指令，以指示所述入网管理客户端为本端的终端设备提供入网所需的用户名和动态密码。

获取模块92，用于获取所述入网管理客户端提供的所述用户名和所述动态密码；所述用户名由所述终端设备的设备ID加密得到，所述动态密码由所述设备ID和当前时间步长内的时间值加密得到，所述设备ID是认证服务器为所述终端设备生成的。

生成模块93，用于根据所述用户名和所述动态密码，生成入网认证请求。

所述发送模块91，还用于将所述入网认证请求发送给所述认证服务器，以供所述认证服务器对所述终端设备进行入网认证。

在一可选实施方式中，入网认证装置还包括：显示模块，用于在响应入网触发操作时，展示入网信息页面，以获取入网认证所需的用户名和动态密码。基于此，获取模块92具体用于：从所述入网信息页面中获取所述用户名和所述动态密码；其中，所述用户名和所述动态密码是由所述入网管理客户端填充至所述入网信息页面中，或者由所述用户从所述入网管理客户端的页面中复制到所述入网信息页面中。

以上描述了入网认证装置的内部功能和结构，如图9b所示，实际中，该入网认证装置可实现为终端设备，包括：存储器95、处理器96以及通信组件97。

存储器95，可被配置为存储其它各种数据以支持在终端设备上的操作。这些数据的示例包括用于在终端设备上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。

存储器95可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

处理器96与存储器95耦合，用于执行存储器95中的程序，以用于：

响应于入网触发操作，控制通信组件97向入网管理客户端发送入网指令，以指示所述入网管理客户端为所述终端设备提供入网所需的用户名和动态密码；

根据所述用户名和所述动态密码，生成入网认证请求，并控制通信组件97将所述入网认证请求发送给所述认证服务器，以供所述认证服务器对所述终端设备进行入网认证。

通信组件，用于向所述入网管理客户端发送所述入网指令，并将所述入网认证请求发送给所述认证服务器。

其中，处理器96在执行存储器95中的程序时，除了上面功能之外，还可实现其它功能，具体可参见前面各实施例中与终端设备相关的描述。

进一步，如图9b所示，终端设备还包括：显示器98、电源组件99、音频组件90等其它组件。图9b中仅示意性给出部分组件，并不意味着终端设备只包括图9b所示组件。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，所述计算机程序被计算机执行时能够实现上述各实施例中与终端设备相关的方法步骤或功能。

图10a为本申请又一实施例提供的入网认证装置的结构示意图。该入网认证装置可位于认证服务器内部实现。如图10a所示，所述入网认证装置包括：接收模块1001、解密模块1002和验证模块1003。

接收模块1001，用于接收终端设备发送的入网认证请求，所述入网认证请求包括用户名和动态密码；

解密模块1002，用于按照设定的解密算法，对所述用户名进行解密。

验证模块1003，用于根据解密模块1002从用户名中解密出的所述终端设备的设备ID时，对所述终端设备进行可信性验证。

验证模块1003，还用于根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码，对所述终端设备进行合法性验证。

在一可选实施方式中，验证模块1003对所述终端设备进行可信性验证时，具体用于：当从用户名中成功解密出终端设备的设备ID时，根据所述设备ID查找注册设备列表，所述注册设备列表存储有已注册设备的设备ID；若从所述注册设备列表中查询到所述设备ID，查询设备状态列表，所述设备状态列表存储有已注册设备的状态；若从所述设备状态列表中查询到所述终端设备处于正常状态，确定所述终端设备通过可信性验证。

在一可选实施方式中，验证模块1003还用于：根据所述用户ID和预先注册的所述终端设备对应的用户信息，对所述终端设备所属的用户进行身份验证；当所述终端设备所属的用户通过身份验证时，执行根据所述设备ID对所述终端设备进行可信性验证的操作。

在一可选实施方式中，验证模块1003对所述终端设备进行合法性验证时，具体用于：当终端设备通过可信性验证时，利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密，以生成至少两个动态密码；根据所述至少两个动态密码和所述入网认证请求中的动态密码，对所述终端设备进行合法性验证；其中，所述至少两个时间步长包括当前时间步长以及与当前时间步长相距最近的至少一个历史时间步长。

在一可选实施方式中，验证模块1003还用于：根据所述设备ID判断已认证设备的映射数据中是否存在所述终端设备上次认证通过所使用的动态密码；若判断结果为存在，根据所述终端设备上次认证通过所使用的动态密码和所述入网认证请求中的动态密码，对所述终端设备进行合法性验证；若判断结果为不存在，执行利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密，以生成至少两个动态密码的操作。

在一可选实施方式中，入网认证装置还包括：生成模块、加密模块和发送模块。

接收模块1001，还用于接收入网管理客户端发送的注册请求，所述注册请求携带有所述终端设备的硬件信息。

生成模块，用于根据所述硬件信息为所述终端设备生成所述设备ID。

加密模块，用于对所述设备ID进行加密，生成所述用户名，并利用所述用户名和所述设备ID对种子密钥进行加密，以获得加密后的种子密钥。

发送模块，用于将所述用户名、所述设备ID以及所述加密后的种子密钥发送给所述入网管理客户端。

以上描述了入网认证装置的内部功能和结构，如图10b所示，实际中，该入网认证装置可实现为认证服务器，包括：存储器1004、处理器1005以及通信组件1006。

存储器1004，可被配置为存储其它各种数据以支持在认证服务器上的操作。这些数据的示例包括用于在认证服务器上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。

存储器1004可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

通信组件1006，用于接收终端设备发送的入网认证请求，所述入网认证请求包括用户名和动态密码。

处理器1005与存储器1004耦合，用于执行存储器1004中的程序，以用于：

按照设定的解密算法，对所述用户名进行解密；

其中，处理器1005在执行存储器1004中的程序时，除了上面功能之外，还可实现其它功能，具体可参见前面各实施例中与认证服务器相关的描述。

进一步，如图10b所示，认证服务器还包括：显示器1007、电源组件1008、音频组件1009等其它组件。图10b中仅示意性给出部分组件，并不意味着认证服务器只包括图10b所示组件。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，所述计算机程序被计算机执行时能够实现上述各实施例中与认证服务器相关的方法步骤或功能。

在图8b、图9b和图10b中的通信组件，可被配置为便于通信组件所属设备和其他设备之间有线或无线方式的通信。通信组件所属设备可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件经由广播信道接收来自外部广播管理***的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在图8b、图9b和图10b中的显示器，可以包括屏幕，其屏幕可以包括液晶显示器 (LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。

在图8b、图9b和图10b中的电源组件，为电源组件所属设备的各种组件提供电力。电源组件可以包括电源管理***，一个或多个电源，及其他与为电源组件所属设备生成、管理和分配电力相关联的组件。

在图8b、图9b和图10b中的音频组件，被配置为输出和/或输入音频信号。例如，音频组件包括一个麦克风(MIC)，当音频组件所属设备处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器或经由通信组件发送。在一些实施例中，音频组件还包括一个扬声器，用于输出音频信号。

本领域内的技术人员应明白，本发明的实施例可提供为方法、***、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

一种入网认证方法，其特征在于，包括：

根据终端设备的入网指令，获取所述终端设备的设备ID以及由所述设备ID加密得到的用户名，所述设备ID是认证服务器为所述终端设备生成的；

利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密，以获得动态密码；

将所述用户名和所述动态密码提供给所述终端设备，以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。
根据权利要求1所述的方法，其特征在于，所述将所述用户名和所述动态密码提供给所述终端设备，包括：

将所述用户名和所述动态密码填充至所述终端设备提供的入网信息页面中；或者

将所述用户名和所述动态密码输出至本端页面上，并根据用户的访问请求，向所述用户展示所述本端页面，以供所述用户从所述本端页面中将所述用户名和所述动态密码复制到所述终端设备提供的入网信息页面中。
根据权利要求1或2所述的方法，其特征在于，所述种子密钥由独立的加密工具维护管理；

所述利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密，以获得动态密码，包括：

将所述设备ID和当前时间步长内的时间值发送给所述加密工具，以使所述加密工具利用所述种子密钥对所述设备ID和当前时间步长内的时间值进行加密并输出所述动态密码。
根据权利要求3所述的方法，其特征在于，在根据终端设备的入网指令，获取所述终端设备的设备ID以及由所述设备ID加密得到的用户名之前，所述方法还包括：

向所述认证服务器发送注册请求，所述注册请求包括所述终端设备的硬件信息，所述硬件信息用于供所述认证服务器为所述终端设备生成所述设备ID；

接收所述认证服务器下发的所述用户名、所述设备ID以及由所述用户名和所述设备ID加密后的种子密钥；

将所述设备ID以及所述用户名存储在本地空间中，并将由所述用户名和所述设备ID加密后的种子密钥发送至所述加密工具，以供所述加密工具解密出所述种子密钥。
根据权利要求4所述的方法，其特征在于，所述注册请求还包括：所述终端设备对应的用户信息；所述用户信息用于供所述认证服务器为所述终端设备生成用户ID。
一种入网认证方法，其特征在于，包括：

响应于入网触发操作，向入网管理客户端发送入网指令，以指示所述入网管理客户端为本端的终端设备提供入网所需的用户名和动态密码；

获取所述入网管理客户端提供的所述用户名和所述动态密码；所述用户名由所述终端设备的设备ID加密得到，所述动态密码由所述设备ID和当前时间步长内的时间值加密得到，所述设备ID是认证服务器为所述终端设备生成的；

根据所述用户名和所述动态密码，生成入网认证请求，并将所述入网认证请求发送给所述认证服务器，以供所述认证服务器对所述终端设备进行入网认证。
根据权利要求6所述的方法，其特征在于，还包括：

在响应于所述入网触发操作时，展示一入网信息页面，以获取所述用户名和所述动态密码；

所述获取所述入网管理客户端提供的所述用户名和所述动态密码，包括：

从所述入网信息页面中获取所述用户名和所述动态密码；

其中，所述用户名和所述动态密码是由所述入网管理客户端填充至所述入网信息页面中，或者由所述用户从所述入网管理客户端的页面中复制到所述入网信息页面中。
一种入网认证方法，其特征在于，包括：

接收终端设备发送的入网认证请求，所述入网认证请求包括用户名和动态密码；

按照设定的解密算法，对所述用户名进行解密；

根据从所述用户名中解密出的所述终端设备的设备ID，对所述终端设备进行可信性验证；

根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码，对所述终端设备进行合法性验证。
根据权利要求8所述的方法，其特征在于，所述根据从所述用户名中解密出的所述终端设备的设备ID，对所述终端设备进行可信性验证，包括：

当从所述用户名中成功解密出所述设备ID时，根据所述设备ID查找注册设备列表，所述注册设备列表存储有已注册设备的设备ID；

若从所述注册设备列表中查询到所述设备ID，查询设备状态列表，所述设备状态列表存储有已注册设备的状态；

若从所述设备状态列表中查询到所述终端设备处于正常状态，确定所述终端设备通过可信性验证。
根据权利要求8所述的方法，其特征在于，所述用户名中还包括：所述终端设备对应的用户ID；

在根据从所述用户名中解密出的所述终端设备的设备ID，对所述终端设备进行可信性验证之前，所述方法还包括：

根据所述用户ID和预先注册的所述终端设备对应的用户信息，对所述终端设备所属的用户进行身份验证；

当所述终端设备所属的用户通过身份验证时，执行根据所述设备ID对所述终端设备进行可信性验证的操作。
根据权利要求8所述的方法，其特征在于，所述根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码，对所述终端设备进行合法性验证，包括：

当所述终端设备通过可信性验证时，利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密，以生成至少两个动态密码；

根据所述至少两个动态密码和所述入网认证请求中的动态密码，对所述终端设备进行合法性验证；

其中，所述至少两个时间步长包括当前时间步长以及与当前时间步长相距最近的至少一个历史时间步长。
根据权利要求11所述的方法，其特征在于，在利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密，以获得至少两个动态密码之前，所述方法还包括：

根据所述设备ID判断已认证设备的映射数据中是否存在所述终端设备上次认证通过所使用的动态密码；

若判断结果为存在，根据所述终端设备上次认证通过所使用的动态密码和所述入网认证请求中的动态密码，对所述终端设备进行合法性验证；

若判断结果为不存在，执行利用与入网管理客户端约定的种子密钥分别对所述设备ID和至少两个时间步长中每个时间步长内的时间值进行加密，以生成至少两个动态密码的操作。
根据权利要求8所述的方法，其特征在于，在接收终端设备发送的入网认证请求之前，所述方法还包括：

接收入网管理客户端发送的注册请求，所述注册请求携带有所述终端设备的硬件信息；

根据所述硬件信息为所述终端设备生成所述设备ID；

对所述设备ID进行加密，生成所述用户名；

利用所述用户名和所述设备ID对种子密钥进行加密，以获得加密后的种子密钥；

将所述用户名、所述设备ID以及所述加密后的种子密钥发送给所述入网管理客户端。
一种电子设备，其特征在于，包括：存储器以及处理器；

所述存储器，用于存储程序；

所述处理器，与所述存储器耦合，用于执行所述存储器中的所述程序，以用于：

根据终端设备的入网指令，获取所述终端设备的设备ID以及由所述设备ID加密得到的用户名，所述设备ID是认证服务器为所述终端设备生成的；

利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密，以获得动态密码；

将所述用户名和所述动态密码提供给所述终端设备，以供所述终端设备生成入网认证请求并发往所述认证服务器进行入网认证。
一种终端设备，其特征在于，包括：存储器、处理器以及通信组件；

所述存储器，用于存储程序；

所述处理器，与所述存储器耦合，用于执行所述存储器中的所述程序，以用于：

响应于入网触发操作，控制所述通信组件向入网管理客户端发送入网指令，以指示所述入网管理客户端为所述终端设备提供入网所需的用户名和动态密码；

获取所述入网管理客户端提供的所述用户名和所述动态密码；所述用户名由所述终端设备的设备ID加密得到，所述动态密码由所述设备ID和当前时间步长内的时间值加密得到，所述设备ID是认证服务器为所述终端设备生成的；

根据所述用户名和所述动态密码，生成入网认证请求，并控制所述通信组件将所述入网认证请求发送给所述认证服务器，以供所述认证服务器对所述终端设备进行入网认证；

所述通信组件，用于向所述入网管理客户端发送所述入网指令，并将所述入网认证请求发送给所述认证服务器。
一种认证服务器，其特征在于，存储器、通信组件以及处理器；

所述存储器，用于存储程序；

所述通信组件，用于接收终端设备发送的入网认证请求，所述入网认证请求包括用户名和动态密码；

所述处理器，与所述存储器耦合，用于执行所述存储器中的所述程序，以用于：

按照设定的解密算法，对所述用户名进行解密；

根据从所述用户名中解密出所述终端设备的设备ID，对所述终端设备进行可信性验证；

根据可信性验证结果、所述设备ID和所述入网认证请求中的动态密码，对所述终端设备进行合法性验证。
一种认证***，其特征在于，包括：终端设备、入网管理客户端以及认证服务器；

所述终端设备，用于响应于入网触发操作，向所述入网管理客户端发送入网指令；获取所述入网管理客户端提供的用户名和动态密码；以及根据所述用户名和所述动态密码，生成入网认证请求，并将所述入网认证请求发送给所述认证服务器；

所述入网管理客户端，用于根据所述入网指令，获取所述设备ID以及所述用户名；利用与所述认证服务器约定的种子密钥对所述设备ID和当前时间步长内的时间值进行加密，以获得所述动态密码；以及将所述用户名和所述动态密码提供给所述终端设备；所述用户名由所述设备ID加密得到的；

所述认证服务器，用于接收所述入网认证请求，所述入网认证请求包括所述用户名和所述动态密码；根据从所述用户名中解密出的所述设备ID，对所述终端设备进行可信性验证；以及根据可信性验证结果、所述设备ID和所述动态密码，对所述终端设备进行合法性验证。
根据权利要求17所述的***，其特征在于，所述入网管理客户端安装于所述终端设备上。
根据权利要求17或18所述的***，其特征在于，还包括：NAS设备和Radius服务器；所述终端设备通过所述NAS设备与所述Radius服务器连接，所述Radius服务器与所述认证服务器连接。