著录项信息
专利名称 | 一种无线局域网接入认证的实现方法 |
申请号 | CN03159178.7 | 申请日期 | 2003-09-10 |
法律状态 | 授权 | 申报国家 | 中国 |
公开/公告日 | 2005-03-16 | 公开/公告号 | CN1595894 |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04L12/28 | IPC分类号 | H;0;4;L;1;2;/;2;8;;;H;0;4;L;9;/;3;2;;;H;0;4;L;2;9;/;0;6查看分类表>
|
申请人 | 华为技术有限公司 | 申请人地址 | 广东省深圳市科技园科发路华为用服大厦
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 华为技术有限公司 | 当前权利人 | 华为技术有限公司 |
发明人 | 赵毅;潘强;欧阳容冰;高江海;李小燕;陈殿福;林明;汪静;陈卫民;郑小春;彭文钦;谢铃;谢南;靳广亮 |
代理机构 | 北京德琦知识产权代理有限公司 | 代理人 | 张颖玲 |
摘要
本发明公开了一种无线局域网接入认证的实现方法,包括:a)当前无线局域网用户终端作为客户端,通过设备端将自身的用户标识信息发送给认证服务器,发起接入认证;b)认证服务器根据所收到的用户标识信息,判断是否需要获取一次性密码(OTP),如果是,则认证服务器随机生成本次认证所需的OTP,然后将所生成的密码传输给客户端,同时向设备端发送拒绝接入报文,执行步骤c;否则,进行正常的接入认证,结束当前流程;c)收到密码的客户端再次向设备端发起认证流程,该收到密码的客户端将自身的用户名和所收到的密码通过设备端发送给认证服务器,完成自身的无线局域网接入认证。该方法可提高WLAN接入认证的安全性和可靠性。
1、一种无线局域网接入认证的实现方法,其特征在于,该方法包括以下步 骤:
a.当前无线局域网用户终端作为客户端,通过设备端将自身的用户标识信 息发送给认证服务器,发起接入认证;
b.认证服务器根据所收到的用户标识信息,判断是否需要获取一次性密码 OTP,如果是,则认证服务器随机生成本次认证所需的OTP,然后将所生成的 密码传输给客户端,同时向设备端发送拒绝接入报文,执行步骤c;否则,进 行正常的接入认证,结束当前流程;
c.收到密码的客户端再次向设备端发起认证流程,该收到密码的客户端将 自身的用户名和所收到的密码通过设备端发送给认证服务器,完成自身的无线 局域网接入认证。
2、根据权利要求1所述的方法,其特征在于,当前无线局域网用户终端作 为客户端以802.1X方式发起接入认证;
则步骤a为:当前无线局域网用户终端作为客户端向设备端发送认证起始 报文,设备端收到后向客户端请求用户名,客户端向设备端返回携带有用户标 识字段的响应报文,设备端收到后,将该响应报文透传给认证服务器;
步骤b为:认证服务器对所收到的响应报文进行解析,并根据解析出的用 户标识字段判断是否需要获取OTP,如果是,则认证服务器随机生成本次认证 所需的OTP,然后将所生成的密码传输给客户端,同时向设备端发送拒绝接入 报文,执行步骤c;否则,进行正常的802.1X认证,结束当前流程;
步骤c为:收到密码的客户端再次向设备端发送认证起始报文,重新发起 802.1X认证流程,该收到密码的客户端将自身的用户名和所收到的密码通过设 备端发送给认证服务器,完成自身的无线局域网接入认证。
3、根据权利要求1所述的方法,其特征在于,当前无线局域网用户终端作 为客户端以PPPoE方式发起接入认证;
则步骤a为:当前无线局域网用户终端作为客户端,先通过PPPoE发现阶 段报文交互找到当前可用的设备端,再将自身的用户标识信息通过所发现的可 用设备端发送给认证服务器。
4、根据权利要求2所述的方法,其特征在于,步骤a中所述客户端向设备 端发送响应报文为:客户端向设备端发送表示需要获取OTP的响应报文。
5、根据权利要求4所述的方法,其特征在于,步骤a中客户端向设备端发 送以用户名@OTP为用户标识字段的响应报文,则步骤b中所述判断为:认证 服务器判断解析出的域名部分是否为OTP,如果是,则需要获取OTP;否则, 不需要获取OTP,进行正常的802.1X认证。
6、根据权利要求2所述的方法,其特征在于,步骤b进一步包括:认证服 务器在生成OTP之前,先根据所收到响应报文中的用户名信息,从归属位置寄 存器中获取当前客户端的签约信息,并根据所获得的签约信息判断当前客户端 是否具有WLAN业务权限,如果有,再随机生成本次认证所需的OTP;否则, 向设备端返回拒绝接入消息。
7、根据权利要求1或2所述的方法,其特征在于,步骤b中所述将生成密 码传输给客户端为:认证服务器将所生成的密码以短消息方式发送给当前客户 端对应的手机用户。
8、根据权利要求7所述的方法,其特征在于,所述以短消息方式发送进一 步包括:认证服务器将所生成的密码通过短消息点对点协议打包成短消息,提 交给短消息服务中心,再由短消息服务中心将含有密码的短消息发送给当前客 户端对应的手机用户。
9、根据权利要求8所述的方法,其特征在于,该方法进一步包括:短消息 服务中心收到含有密码的短消息后,向认证服务器回送表示成功接收短消息的 响应报文。
10、根据权利要求1或2所述的方法,其特征在于,步骤b所述随机生成 OTP为:认证服务器根据所收到的用户标识信息,解析出用户名;认证服务器 根据解析出的用户名随机生成本次认证所需的OTP。
11、根据权利要求10所述的方法,其特征在于,所述用户名为当前无线局 域网用户终端的移动台国际综合业务数字网ISDN号码。
12、根据权利要求1或2所述的方法,其特征在于,步骤b中所述的拒绝 接入报文中携带有本次失败的原因。
13、根据权利要求12所述的方法,其特征在于,所述拒绝接入报文中失败 原因的携带格式为:[OTP]Error code=失败原因对应的取值;Message=失败原 因值的含义。
14、根据权利要求12所述的方法,其特征在于,步骤b中设备端收到携带 有失败原因的拒绝接入报文后,根据具体的失败原因向客户端发送响应的失败 原因提示。
15、根据权利要求1或2所述的方法,其特征在于,该方法进一步包括: 为每个生成的OTP设置一个使用有效期。
16、根据权利要求15所述的方法,其特征在于,步骤c中收到密码的客户 端在该密码对应的使用有效期内随时向设备端发送接入认证请求,触发接入认 证流程。
17、根据权利要求1或2所述的方法,其特征在于,该方法进一步包括: 预先建立认证服务器与短消息服务中心的虚连接。
技术领域\n本发明涉及接入认证技术,特别是指一种在无线局域网中实现一次性密码 接入认证的方法。\n背景技术\n随着用户对无线接入速率的要求越来越高,无线局域网(WLAN,Wireless Local Area Network)应运而生,它能在较小范围内提供高速的无线数据接入, 是目前IT行业最热门的技术之一,也是现在最流行的无线接入方式。无线局域 网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE 802.11b,它 采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。 其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最 高传输速率也可达到54Mbps。\n目前的WLAN网络主要采用802.1X系列协议,所谓802.1X协议是2001 年6月电气和电子工程师协会(IEEE)标准化组织正式通过的基于端口的网络 访问控制协议。IEEE 802.1X定义了基于端口的网络接入控制协议,其中,端 口可以是物理端口,也可以是逻辑端口。\nIEEE 802.1X的体系结构如图1所示,802.1X系统共有三个实体:客户端 系统(Supplicant System)、设备端系统(Authenticator System)、认证服务器系 统(Authentication Server System)。在客户端进一步包括客户端端口状态实体 (PAE),在设备端进一步包括设备端系统提供的服务和设备端端口状态实体, 在认证服务器系统中进一步包括认证服务器;该认证服务器与设备端的端口状 态实体相连,通过扩展认证协议(EAP)来交换设备端和认证服务器间的认证 信息,客户端的端口状态实体直接连到局域网(LAN)上,设备端的服务和端 口状态实体分别通过受控端口(Controlled Port)和非受控端口连接于局域网上, 客户端和设备端通过客户端和设备端间的认证协议(EAPoL)进行通信。其中, Controlled Port负责控制网络资源和业务的访问。\n如图1所示,设备端系统的内部有受控端口(Controlled Port)和非受 控端口(Uncontrolled Port),该非受控端口始终处于双向连通状态,主要 用来传递EAPoL协议帧,可保证随时接收和发送EAPoL协议帧;而受控 端口只有在认证通过,即授权状态下才打开,用于传递网络资源和服务,也 就是说,在认证未通过时该受控端口为未授权端口,受控端口可配置为双向 受控、仅输入受控两种方式,以适应不同应用环境的需要。\n基于图1所示的结构,IEEE 802.1X认证的基本实现过程如图2所示,包 括以下步骤:\n步骤201:当用户登录网络时,客户端收到用户登录信息后,向设备端发 送认证起始报文EAPoL-Start,触发认证过程。这里,如果客户端是动态分配地 址的,认证起始报文也可能是DHCP请求报文;如果客户端是手工配置地址的, 认证起始报文还可能是ARP请求报文。\n步骤202~203:设备端收到客户端发来的EAPoL-Start报文后,向客户端发 出请求用户名报文EAP-Request[Identity],请求用户名;客户端收到后,将用户 名通过响应用户名报文EAP-Response[Identity]发给设备端。\n步骤204:设备端收到客户端的EAP-Response[Identity]报文后,通过接入 请求报文Access-Request(EAP-Response[Identity])将用户名透传给认证服务器。\n步骤205:认证服务器收到接入请求报文后,向设备端发出请求用户密码 报文EAP-Request[MD5 Challenge],并通过密码请求报文Access-Challenge (EAP-Request[MD5 Challenge])透传给设备端,向客户端进行MD5质询。\n步骤206~208:设备端收到认证服务器发来的EAP-Request[MD5 Challenge] 报文后,通过EAP-Request[MD5 Challenge]透传给客户端;客户端收到后,将 密码通过响应用户密码报文EAP-Response[MD5 Challenge]发给设备端;设备端 再通过Access-Request(EAP-Response[MD5 Challenge])报文透传给认证服务 器。\n步骤209~210:认证服务器根据收到的报文进行认证,然后将认证结果通 过Access-Accept或Access-Reject报文发送给设备端;设备端收到后,再将认 证结果通过EAP-Success或EAP-Failure报文透传给客户端,通知用户认证成功 或失败。\n现有技术中,从个人终端的操作方式来看,WLAN主要的接入认证方式有 两种:基于EAP-SIM的认证方式和基于用户名/密码的认证方式,其中EAP-SIM 方式是利用用户识别模块(SIM)卡,通过IEEE 802.1X接入实现统一认证、 计费。在基于用户名/密码的方式中,又分为两种方式:固定的用户名/密码和一 次性密码(OTP,One Time Password)方式,其中OTP方式是指每次采用不同 的密码进行接入认证。\n通常,WLAN接入认证采用固定用户名/密码方式,该方式是指用户通过开 户向运营商申请一个用户名/密码、或者通过购买预付费卡获得一个固定的用户 名/密码,然后进行802.1x客户端接入认证。在这种方式中,用户在一段时间内 上网都是用同一个用户名/密码。如此,密码容易被盗取,致使安全性降低。\n发明内容\n有鉴于此,本发明的主要目的在于提供一种无线局域网接入认证的实现方 法,可提高WLAN接入认证的安全性和可靠性。\n为达到上述目的,本发明的技术方案是这样实现的:\n一种无线局域网接入认证的实现方法,该方法包括以下步骤:\na.当前无线局域网用户终端作为客户端,通过设备端将自身的用户标识信 息发送给认证服务器,发起接入认证;\nb.认证服务器根据所收到的用户标识信息,判断是否需要获取一次性密码 OTP,如果是,则认证服务器随机生成本次认证所需的OTP,然后将所生成的 密码传输给客户端,同时向设备端发送拒绝接入报文,执行步骤c;否则,进 行正常的接入认证,结束当前流程;\nc.收到密码的客户端再次向设备端发起认证流程,该收到密码的客户端将 自身的用户名和所收到的密码通过设备端发送给认证服务器,完成自身的无线 局域网接入认证。\n上述方案中,当前无线局域网用户终端作为客户端以802.1X方式发起接入 认证;\n则步骤a为:当前无线局域网用户终端作为客户端向设备端发送认证起始 报文,设备端收到后向客户端请求用户名,客户端向设备端返回携带有用户标 识字段的响应报文,设备端收到后,将该响应报文透传给认证服务器;\n步骤b为:认证服务器对所收到的响应报文进行解析,并根据解析出的用 户标识字段判断是否需要获取OTP,如果是,则认证服务器随机生成本次认证 所需的OTP,然后将所生成的密码传输给客户端,同时向设备端发送拒绝接入 报文,执行步骤c;否则,进行正常的802.1X认证,结束当前流程;\n步骤c为:收到密码的客户端再次向设备端发送认证起始报文,重新发起 802.1X认证流程,该收到密码的客户端将自身的用户名和所收到的密码通过设 备端发送给认证服务器,完成自身的无线局域网接入认证。\n上述方案中,当前无线局域网用户终端作为客户端以PPPoE方式发起接入 认证;则步骤a为:当前无线局域网用户终端作为客户端,先通过PPPoE发现 阶段报文交互找到当前可用的设备端,再将自身的用户标识信息通过所发现的 可用设备端发送给认证服务器。\n基于802.1X进行认证时,步骤a中所述客户端向设备端发送响应报文为: 客户端向设备端发送表示需要获取OTP的响应报文。其中,步骤a中客户端向 设备端发送以用户名@OTP为用户标识字段的响应报文,则步骤b中所述判断 为:认证服务器判断解析出的域名部分是否为OTP,如果是,则需要获取OTP; 否则,不需要获取OTP,进行正常的802.1X认证。\n基于802.1X进行认证时,步骤b进一步包括:认证服务器在生成OTP之 前,先根据所收到响应报文中的用户名信息,从归属位置寄存器中获取当前客 户端的签约信息,并根据所获得的签约信息判断当前客户端是否具有WLAN业 务权限,如果有,再随机生成本次认证所需的OTP;否则,向设备端返回拒绝 接入消息。\n上述方案中,步骤b中所述将生成密码传输给客户端为:认证服务器将所 生成的密码以短消息方式发送给当前客户端对应的手机用户。所述以短消息方 式发送进一步包括:认证服务器将所生成的密码通过短消息点对点协议打包成 短消息,提交给短消息服务中心,再由短消息服务中心将含有密码的短消息发 送给当前客户端对应的手机用户。那么,该方法进一步包括:短消息服务中心 收到含有密码的短消息后,向认证服务器回送表示成功接收短消息的响应报文。\n上述方案中,步骤b所述随机生成OTP为:认证服务器根据所收到的用户 标识信息,解析出用户名;认证服务器根据解析出的用户名随机生成本次认证 所需的OTP。其中,所述用户名为当前无线局域网用户终端的移动台国际ISDN (综合业务数字网)号码。\n上述方案中,步骤b中所述的拒绝接入报文中携带有本次失败的原因。其 中,所述拒绝接入报文中失败原因的携带格式为:[OTP]Error code=失败原因 对应的取值;Message=失败原因值的含义。步骤b中设备端收到携带有失败原 因的拒绝接入报文后,根据具体的失败原因向客户端发送响应的失败原因提示。\n该方法进一步包括:为每个生成的OTP设置一个使用有效期。则步骤c中 收到密码的客户端在该密码对应的使用有效期内随时向设备端发送接入认证请 求,触发接入认证流程。\n该方法进一步包括:预先建立认证服务器与短消息服务中心的虚连接。\n因此,本发明所提供的无线局域网接入认证的实现方法,将OTP和WLAN 相结合,在WLAN的组网方式中用OTP认证方式实现用户的上网控制,通过 IEEE 802.1X来实现OTP取密码、认证全流程,在一定的时限内保证密码有效, 并使用户每次上网所采用的密码均不相同,从而减少了密码被盗的可能性,为 WLAN接入认证提供了一种安全可靠性高、方便易用的认证模式,更有效地保 证了用户利益。\n另外,采用一次性密码的实现方式,不仅操作灵活、易于实现;而且,弥 补了802.1X只能通过固定用户名/密码方式进行认证的缺陷,丰富了WLAN的 接入认证手段。并且,通过IEEE 802.1X接入方式实现OTP,充分利用了IEEE 802.1X基于端口认证的优势和安全度高的特点,切实可行。\n附图说明\n图1为IEEE 802.1X的体系结构示意图;\n图2为802.1X接入认证的实现流程图;\n图3为本发明实现OTP接入认证一实施例的WLAN组网结构示意图;\n图4为本发明中基于802.1X的OTP接入认证实现的流程图。\n具体实施方式\n本发明的核心思想是:在采用OTP方式实现WLAN的接入认证时,先利 用802.1X的接入过程获取本次认证所需的一次性密码;然后,再利用所获取的 密码进行真正的802.1X认证过程,完成WLAN的接入认证。也就是说,本发 明通过两次802.1X接入过程实现了OTP的密码获取和接入认证的全过程。这 里,每次的一次性密码由认证服务器随机生成。\n下面结合附图及具体实施例对本发明再作进一步详细的说明。\n图3为本发明中以OTP方式实现WLAN接入认证的一实施例的组网结构 示意图,如图3所示,接入点(AP)为WLAN业务网络中的小型无线基站设 备,用于完成802.11b系列标准的无线接入功能;接入控制设备(AC),用于 控制用户接入WLAN网络;认证服务器(AS),用于对用户进行认证、授权和 计费;短消息服务中心(SMSC),用于将OTP密码通过短消息方式发送给用户; 归属位置寄存器(HLR),用于存储用户信息;计费网关(CG),用来根据所收 到的通信信息生成计费话单;计费中心(BOSS),用于对用户进行计费,主要 是接收和记录网络传来的用户计费信息,并进行统计和控制,其中用户计费信 息可以包括在线计费用户的在线费用信息。\n通常,在无线局域网中,WLAN用户终端通过自身当前所属的AP接入 WLAN网络,并经由AC到AS上进行接入认证,认证通过后,即可在WLAN 中进行通信。对于802.1X接入认证来说,WLAN用户终端就是客户端,AC相 当于设备端,AS相当于认证服务器。\n本发明先通过802.1X认证过程中,WLAN用户终端STA响应用户名报文 请求,向AC发送自身用户名的步骤,利用特殊的格式通知AC要获取一次性 密码;AS随机生成本次、当前用户终端的一次性密码后,通过安全的方式将所 生成的密码通知当前发起接入认证的WLAN用户,比如:通过短消息方式;同 时,AS还通过发送拒绝接入消息结束本次认证过程;当前用户收到一次性密码 后重新发起802.1X认证过程,完成WLAN的接入认证。\n基于图3所示的网络结构,以将一次性密码以短消息方式发送给WLAN用 户为例,说明本发明的具体实现流程。本实施例中,由于采用短消息发送一次 性密码方式,所以在AS正常运行后,首先要建立与SMSC之间的发送虚连接, 具体过程是:AS向SMSC传送发送绑定报文bind_transmitter,请求建立AS与 SMSC之间的发送虚连接;SMSC收到后,则向AS回送发送绑定响应报文 bind_transmitter_resp,表示建立虚连接成功。\n如图4所示,本实施例以OTP方式实现WLAN接入认证具体包括:\n步骤401~403:与现有技术中的步骤201~203类似,不同的是:用户登录 时,在客户端上输入MSISDN@OTP并通过AP向AC发送EAPoL-Start,发起 认证过程;然后,客户端在收到AC发来的请求用户名报文后,在用户名响应 报文中将MSISDN@OTP发送给AC。\n这里,MSISDN@OTP为用户标识字段,也就是用户标识信息,包括用户 名和域名两部分,其中MSISDN为用户名部分,OTP为域名部分,客户端以 OTP为域名来表示需要获取一次性密码,当然,认证系统也可以定义其它特殊 的域名来表示。而且,认证系统还可以采用其它形式来表示需要获取一次性密 码,比如:通过扩展消息属性、字段,增加表示获取密码的字段等方式。\n步骤404:AC在收到用户的EAP-Response[Identify]报文后,将该 EAP-Response[Identify]报文进行封装后发送给AS,即发接入请求报文Access- Request给AS。\n这里,假定设备端AC与认证服务器AS之间通过EAPoR(EAP over Radius) 协议进行通信,则AC将EAP-Response[Identify]报文封装在用户远程拨号认证 服务(RADIUS)报文中,通过EAPoR报文形式发送给AS。\n步骤405~406:AS收到接入请求报文后,解析出报文中的用户标识字段, 并根据其中“@”后的域名部分确定是否为OTP取密码流程,如果“@”后为 “OTP”,则当前为OTP取密码流程,否则,为正常的802.1X认证过程,按现 有技术的处理流程完成认证即可。\n如果是OTP取密码流程,则AS可根据需要直接生成本次的一次性密码, 此种情况下,直接执行步骤407;或者,AS在进行WLAN业务权限判定后再 确定是否生成一次性密码,这种情况下,AS先根据用户标识字段中的MSISDN 向HLR发起取用户国际移动用户标识(IMSI)的消息;AS获取用户IMSI后, 再向HLR发送取用户签约数据报文,要求获取该用户的签约信息,以检查该用 户的WLAN业务属性,进而判断该用户是否有权限进行OTP业务。这里,如 果当前用户终端不具备WLAN业务权限,则AS会向AC发送拒绝接入消息, AC再向当前用户终端发送接入失败的报文,结束本次接入认证流程。\n步骤407~408:AS根据解析出的、用户的MSISDN随机生成一次性密码 Key,然后,AS将生成的密码Key通过短消息点对点协议(SMPP)打包成短 消息的形式,通过提交短消息报文Submit_SM将密码Key发送给SMSC;SMSC 收到后,向AS发送短消息提交响应报文Submit_SM_resp,对Submit_SM消息 进行响应,表示成功收到短消息;之后,SMSC再通过短消息向当前用户的手 机发送AS生成的密码Key。\n本步骤中,AS也可以不根据用户的MSISDN生成一次性密码,AS可以根 据任意的密码生成算法,比如:利用随机数、随机种子加上某种现有的加密算 法获得一个加密密钥,将该密钥作为一次性密码。另外,AS也可以通过其它协 议方式将短消息打包,提交给SMSC,比如:通过七号信令方式打包。\n步骤409~410:当AS成功的将密码发给短消息中心后,AS向AC发送拒 绝接入报文Access-Reject,该报文中可以携带本次失败的原因。\n为了实现失败原因值的下发,可以扩展Radius标准消息的属性 Reply-Message,按照格式“[OTP]Error code=;Message=”定 义一系列相关的失败原因,其中,Error code为失败原因对应的取值,Message 是指该失败原因值的含义,即表示何种失败,AC可以根据code值的不同向用 户输出不同的提示。\nAC在收到AS下发的Access-Reject报文后,解析出具体的失败原因,然 后通知用户。在本实施例中,AC在收到AS的拒绝接入报文Access-Reject后, 剥离出其中的失败报文EAP-Failure,发送给客户端,同时,AC可以根据失败 原因向用户提示“密码已通过短消息发送”。\n上述步骤401~410即为OTP密码获取流程,如图4中虚线框内步骤所示, 获取密码后,当前用户终端即可使用所获得的密码进行接入认证,即执行步骤 411~422。获取密码后,当前用户终端可以立即进行接入认证,也可以在间隔一 段时间后再进行接入认证,因此可以对每个一次性密码设置一个使用有效期, 有效期的值可实时设定,也可预先设定一个默认值,比如:设有效期默认值为 半小时,那么,当前用户终端在半小时内随时都可以利用所获取的一次性密码 发起一次802.1X认证。\n步骤411:用户在获取一次性密码后,在客户端上输入MSISDN@Simple 以及从手机中得到的密码,再通过EAPoL_Start报文重新发起新的一次802.1x 接入认证流程。这里,采用Simple作为域名只是为了区别于密码获取的认证过 程,说明本次为正常认证流程,实际上该域名可根据运营商需要任意设置。\n步骤412~414:AC收到认证起始报文EAPoL_Start后,向客户端发送 EAP-Request[Identity],要求客户端将用户名Identity送上来;客户端响应AC 请求,发送EAP-Response[Identity],将MSISDN@Simple发送给AC;AC收到 后,再将EAP-Response[Identify]报文封装在RADIUS报文里,通过EAPoR报 文形式发送给AS。\n步骤415~417:AS向AC发送密码请求报文Access-Challenge(EAP-Request [MD5 Challenge]),请求密码进行认证;AC收到密码请求报文后,剥离出其中 的EAP-Request[MD5 Challenge]报文,发送给客户端,请求MD5认证;客户端 收到EAP-Request[MD5 Challenge]报文后,按照MD5加密算法对用户输入的密 码,即本次采用的一次性密码Key进行加密,然后通过密码响应报文 EAP-Response[MD5 Challenge]将密码回应给AC。\n步骤418~420:AC收到客户端响应后,将EAP-Response[MD5 Challenge] 报文封装在Radius请求报文里发送给AS,作为Access-Challenge(EAP-Request [MD5 Challenge])的响应;AS收到Access-Request(EAP-Response[MD5 Challenge])报文后,按照同样的MD5加密算法对曾产生的、对应当前用户终 端的一次性密码Key进行加密,然后判断加密后的结果是否与从报文中解析出 的密码相同,如果相等,则AS向AC发送认证成功报文Access-Accept;否则, 发送认证拒绝报文Access-Reject;\nAC如果收到Access-Accept报文,则向客户端发送认证成功报文EAP- Success,标识接入认证成功;否则,向客户端发送认证失败报文EAP-Failure, 标识接入认证失败。\n步骤421~422:接入成功后,客户端进行DHCP,并开始进行计费。\n当然,WLAN还可以通过PPPoE方式实现OTP的接入认证,该方式以当前用 户终端作为PPPoE客户端,通过输入用户的手机号申请密码,认证服务器通过 短消息将所生成的密码发送到提出申请用户的手机上,然后获取密码的用户再 通过输入从手机中获取的密码进行接入认证。其中,PPPoE具体要经过两个过 程进行接入:发现阶段和会话阶段,发现阶段可分为四步,其实这个过程也是 PPPOE四种数据报文的交换的一个过程。当完成这四步后,用户主机与设备端 双方就能获知对方的MAC地址和唯一的会话ID号,从而进入到会话阶段;会 话阶段就是典型的PPP过程,在链路协商的时候,先与设备端协商认证方式, 比如:采用PAP或CHAP认证方式,然后设备端通过Radius报文将用户的标 识信息,如MSISDN@domain信息送到认证服务器,实现整个过程。\n以上所述,仅为本发明的较佳实施例而已,并非用来限定本发明的保护范 围。
法律信息
- 2007-08-29
- 2006-04-26
- 2005-03-16
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2003-04-30
|
2002-08-28
| | |
2
| | 暂无 |
2001-12-19
| | |
3
| |
2003-08-13
|
2002-01-30
| | |
4
| | 暂无 |
2001-08-22
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |