基于WEB的WLAN接入认证方法及系统

1.一种基于WEB的WLAN接入认证方法，包括如下步骤：
WLAN终端与接入点建立物理连接；
WLAN终端通过接入控制点获取IP地址，发起HTTP请求；
通过WEB页面获取WLAN终端的用户名及密码，通过所述接入控制点将用户名及密码发送给用户认证服务器，使用户认证服务器根据用户名及密码对WLAN终端进行用户认证；
其中，所述的WLAN终端与接入点建立物理连接的步骤包括：对WLAN终端证书及接入点证书进行认证；
所述的对WLAN终端证书及接入点证书进行认证的步骤具体为：
WLAN终端向接入点发出接入认证请求，该接入认证请求中携带有WLAN终端证书与接入鉴别请求时间；
接入点将WLAN终端证书、接入鉴别请求时间、接入点证书以及接入点私钥对WLAN终端证书、接入鉴别请求时间及接入点证书的签名生成证书认证请求，并向证书认证服务器发送；
证书认证服务器认证接入点的签名是否正确，若不正确，则鉴别过程失败，若正确，则认证接入点和WLAN终端证书是否合法，将WLAN终端证书认证结果信息及AP证书认证结果信息构成证书认证响应，发送至接入点；
接入点对证书认证响应进行签名认证，得到WLAN终端证书的认证结果，并将证书认证响应发送至WLAN终端；WLAN终端对证书认证响应进行签名认证，得到接入点证书的认证结果。
2.根据权利要求1所述的基于WEB的WLAN接入认证方法，其中所述的通过WEB页面获取WLAN终端的用户名及密码，通过所述接入控制点将用户名及密码发送给用户认证服务器，使用户认证服务器根据用户名及密码对WLAN终端进行认证的步骤具体为：
接入控制点截获WLAN终端的HTTP请求，判断WLAN终端是否认证过，若没有，则将该HTTP请求重定向至门户服务器；
门户服务器向WLAN终端发送认证页面；
WLAN终端向门户服务器返回填入用户名及密码的认证页面；
门户服务器通过接入控制点向用户认证服务器发送用户名及密码信息；
用户认证服务器判断用户是否合法，生成认证结果并发送至接入控制点，接入控制点将认证结果返回门户服务器；
门户服务器根据认证结果向WLAN终端发送认证结果页面。
3.根据权利要求2所述的基于WEB的WLAN接入认证方法，其中所述的门户服务器通过接入控制点向用户认证服务器发送用户名及密码信息的步骤具体为：门户服务器向接入控制点请求挑战；接入控制点向门户服务器返回挑战码标识及挑战码；门户服务器根据用户名、密码、挑战码标识及挑战码生成认证请求向接入控制点发送；接入控制点将认证请求携带的信息发送至用户认证服务器。
4.根据权利要求3所述的基于WEB的WLAN接入认证方法，其中所述的门户服务器根据用户名、密码、挑战码标识及挑战码生成认证请求的步骤具体为：门户服务器采用预先定义的算法，根据密码、挑战码标识及挑战码生成挑战密码，将挑战密码与用户名生成认证请求。
5.根据权利要求4所述的基于WEB的WLAN接入认证方法，其中所述的接入控制点将认证请求发送至用户认证服务器的步骤具体为：接入控制点将查询标识、挑战码以及认证请求中携带的挑战密码及用户名生成接入请求发送至用户认证服务器。
6.根据权利要求2所述的基于WEB的WLAN接入认证方法，其中还包括：接入控制点维护WLAN终端认证状态表的步骤。
7.根据权利要求6所述的基于WEB的WLAN接入认证方法，其中所述的判断WLAN终端是否认证过的步骤具体为：根据WLAN终端认证状态表判断WLAN终端是否认证过。
8.根据权利要求1所述的基于WEB的WLAN接入认证方法，其中所述的WLAN终端与接入点建立物理连接的步骤还包括：WLAN终端与接入点协商单播密钥的步骤，具体为：若WLAN终端证书通过认证，接入点向WLAN终端发送密钥协商请求，该密钥协商请求中包括用WLAN终端公钥加密的协商数据和接入点签名信息以及算法协商信息；WLAN终端对密钥协商请求进行签名认证，若认证通过并且接入点证书通过认证，则生成密钥协商数据，利用接入点公钥加密，并向接入点发送；双方利用密钥协商数据生成单播会话密钥。
9.根据权利要求1所述的基于WEB的WLAN接入认证方法，其中所述的WLAN终端与接入点建立物理连接的步骤还包括接入点通知WLAN终端组播密钥的步骤，具体为：接入点向WLAN终端发送组播密钥通告，该通告中携带有AP发送的组播数据信息加密使用的密钥；
WLAN终端认证接入点发送的组播密钥通告的有效性后，向接入点返回组播密钥响应。
10.一种基于WEB的WLAN接入认证系统，其中包括：
安装有无线网卡的WLAN终端；
接入点，用于WLAN终端的无线接入；
接入控制点，用于检查WLAN终端是否通过用户认证，与用户认证服务器协同完成用户认证，并用于接入过程中的业务控制；
用户认证服务器，用于根据通过接入控制点发送的用户名及密码进行用户认证；门户服务器，用于向未进行用户认证的WLAN终端发送认证页面，获取用户名及密码，以及向WLAN终端返回认证结果；
证书认证服务器，用于在WLAN终端与接入点建立物理连接时对WLAN终端证书以及接入点证书进行认证；
所述的对WLAN终端证书及接入点证书进行认证的步骤具体为：
WLAN终端向接入点发出接入认证请求，该接入认证请求中携带有WLAN终端证书与接入鉴别请求时间；
接入点将WLAN终端证书、接入鉴别请求时间、接入点证书以及接入点私钥对WLAN终端证书、接入鉴别请求时间及接入点证书的签名生成证书认证请求，并向证书认证服务器发送；
证书认证服务器认证接入点的签名是否正确，若不正确，则鉴别过程失败，若正确，则认证接入点和WLAN终端证书是否合法，将WLAN终端证书认证结果信息及AP证书认证结果信息构成证书认证响应，发送至接入点；
接入点对证书认证响应进行签名认证，得到WLAN终端证书的认证结果，并将证书认证响应发送至WLAN终端；WLAN终端对证书认证响应进行签名认证，得到接入点证书的认证结果。

基于WEB的WLAN接入认证方法及系统 \n技术领域\n[0001] 本发明涉及WLAN技术，尤其涉及基于WEB的WLAN接入认证方法及系统。 背景技术\n[0002] 无线局域网(Wireless Local Area Network，简称WLAN)具有可移动性、安装简单、高灵活性和扩展能力，作为对传统有线网络的延伸，在许多特殊环境中得到了广泛的应用。随着无线数据网络解决方案的不断推出，无线局域网络用户不论在任何时间、任何地点都可以轻松上网。 \n[0003] 但是，由于WLAN采用公共的电磁波作为载体，任何人都有条件窃听或干扰信息，如果WLAN缺乏安全性保障，那么会导致网络非法操作并继而影响上层通信内容的安全。\nWLAN的安全性主要体现在接入控制和数据加密两方面。接入控制保证网络只能由合法的用户接入访问，数据加密保证数据只能被所期望的目的端接收和解密。当非法用户接入网络时，网络可能受到非法接入者的攻击，造成网络故障，并且难以找到攻击者。当WLAN终端通过非法接入点接入网络时，WLAN终端的安全性也难以保障，可能受到攻击，造成数据丢失以及终端系统的瘫痪。当WLAN终端与接入点之间数据传输的安全性不能得到保障时，二者传输的数据可能会被窃听，导致泄密。 \n发明内容\n[0004] 本发明的目的在于针对现有技术所存在的缺陷，提供一种基于WEB的WLAN接入认证方法及系统，实现WLAN接入过程中对用户身份的认证。 \n[0005] 为了实现上述目的，本发明提供了一种基于WEB的WLAN接入认证方法，包括如下步骤：WLAN终端与接入点建立物理连接；WLAN终端通过接入控制点获取IP地址，发起HTTP请求；通过WEB页面获取WLAN终端的用户名及密码，通过所述接入控制点将用户名及密码发送给用户认证服务器，使用户认证服务器根据用户名及密码对WLAN终端进行用户认证。 [0006] 其中，通过所述接入控制点将用户名及密码发送给用户认证服务器，使用户认证服务器根据用户名及密码对WLAN终端进行认证的步骤可具体为：接入点截获WLAN终端的HTTP请求，判断WLAN终端是否认证过，若没有则将该HTTP请求重定向至门户服务器；门户服务器向WLAN终端发送认证页面；WLAN终端向门户服务器返回填入用户名及密码的认证页面；门户服务器通过接入控制点向用户认证服务器发送用户名及密码信息；用户认证服务器判断用户是否合法，生成认证结果并发送至接入控制点，接入控制点将认证结果返回门户服务器；门户服务器根据认证结果向WLAN终端发送认证结果页面。 [0007] 在建立物理连接时，可对WLAN终端证书及接入点证书进行认证，以保证WLAN终端及接入点的合法性；WLAN终端与接入点可进行密钥协商，以保证数据传输的安全性。 [0008] 本发明还提供了一种基于WEB的WLAN接入认证系统，包括：安装有无线网卡的WLAN终端；接入点，用于WLAN终端的无线接入；接入控制点，用于检查WLAN终端是否通过用户认证，与用户认证服务器协同完成用户认证，并用于接入过程中的业务控制；用户认证服务器，用于根据通过接入控制点发送的用户名及密码进行用户认证；门户服务器，用于向未进行用户认证的WLAN终端发送认证页面，获取用户名及密码，以及向WLAN终端返回认证结果。 \n[0009] 本发明的基于WEB的WLAN接入认证系统还可包括证书认证服务器，该认证服务器用于在建立物理连接时，对WLAN终端证书以及接入点证书进行认证。 \n[0010] 本发明通过WEB方式实现了WLAN的接入认证，保证用户身份的有效性，并为计费提供了方便；通过基于数字证书的WLAN终端与WLAN接入点的双向认证保证了WLAN终端与接入点的合法性；通过物理连接建立阶段的密钥协商实现了WLAN终端与接入点之间的数据保密传输。 \n[0011] 下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。 附图说明\n[0012] 图1为本发明的基于WEB的WLAN接入认证系统结构示意图； \n[0013] 图2为本发明的基于WEB的WLAN接入认证方法流程图； \n[0014] 图3为本发明的基于WEB的WLAN接入认证方法的获取WLAN终端用户名及密码根据用户名及密码对WLAN终端进行用户认证的方法流程图； \n[0015] 图4为本发明的基于WEB的WLAN接入认证方法一具体实施例流程图； [0016] 图5为本发明的基于WEB的WLAN接入认证系统一具体实施例结构示意图； [0017] 图6为本发明的基于WEB的WLAN接入认证方法的对WLAN终端证书及接入点证书进行验证的方法流程图； \n[0018] 图7为本发明的基于WEB的WLAN接入认证方法另一具体实施例流程示意图。 具体实施方式\n[0019] 如图1所示，为本发明的基于WEB的WLAN接入认证系统结构示意图，包括：WLAN终端，接入点(Access Point，简称AP)，接入控制点(AccessController，简称AC)，用户认证服务器，以及门户服务器(Portal服务器)。WLAN终安装有无线网卡端机WEB浏览器；\nAP用于WLAN终端的无线接入；AC用于检查WLAN终端是否通过用户认证，与用户认证服务器协同完成用户认证，并用于接入过程中的业务控制；用户认证服务器用于进行用户认证；\nPortal服务器，用于向未进行用户认证的WLAN终端发送认证页面，获取用户名及密码，以及向WLAN终端返回认证结果。 \n[0020] 如图2所示，为本发明的基于WEB的WLAN接入认证方法流程图，包 括如下步骤： [0021] 步骤1、WLAN终端与AP建立物理连接； \n[0022] 步骤2、WLAN终端通过AC获取IP地址，发起HTTP请求； \n[0023] 步骤3、通过WEB页面获取WLAN终端的用户名及密码，根据用户名及密码对WLAN终端进行用户认证。 \n[0024] 如图3所示，为本发明的获取WLAN终端用户名及密码，根据用户名及密码对WLAN终端进行用户认证的方法流程图，包括如下步骤： \n[0025] 步骤31、AC截获WLAN终端的HTTP请求； \n[0026] 步骤32、AC判断WLAN终端是否认证过，若没有则将该HTTP请求重定向至Portal服务器；AC可维护一WLAN终端认证状态表，其中记录认证过的WLAN终端信息，根据状态表判断WLAN终端是否认证过； \n[0027] 步骤33、Portal服务器向WLAN终端发送认证页面； \n[0028] 步骤34、WLAN终端向Portal服务器返回填入用户名及密码的认证页面； [0029] 步骤35、Portal服务器通过AC向用户认证服务器发送用户名及密码信息； [0030] 步骤36、用户认证服务器判断用户是否合法，生成认证结果并发送至AC； [0031] 步骤37、AC将认证结果返回Portal服务器； \n[0032] 步骤38、Portal服务器根据认证结果向WLAN终端发送认证结果页面。 [0033] 如图4所示，为本发明的基于WEB的WLAN接入认证方法一具体实施例流程示意图，包括： \n[0034] 步骤101、WLAN终端与AP建立物理连接； \n[0035] 步骤102、WLAN终端通过标准的DHCP协议，通过AC获取到规划的IP地址； [0036] 步骤103、用户打开WEB浏览器，如IE，访问某个网站，WLAN终端发起HTTP请求； [0037] 步骤104、AC截获该HTTP请求，根据认证状态表判断用户没有认证过，将该HTTP请求重定向到Portal服务器； \n[0038] 步骤105、Portal服务器向WLAN用户终端发送WEB认证页面； \n[0039] 步骤106、用户在认证页面上填入用户名、密码等信息，WLAN终端将填入用户名密码的认证页面提交到Portal服务器； \n[0040] 步骤107、Portal服务器接收到用户信息，向AC请求挑战(Challenge)； [0041] 步骤108、AC返回挑战码标识(Challenge ID)和挑战码； \n[0042] 步骤109、Portal服务器根据预先定义的算法，如MD5算法，将密码、Challenge ID及挑战码生成挑战密码(Challenge-Password)，和用户名一起生成认证请求，提交到AC，发起认证； \n[0043] 步骤110、AC将Challenge ID、挑战码、Challenge-Password和用户名一起送到用户认证服务器，由用户认证服务器进行认证； \n[0044] 步骤111、用户认证服务器对接收到的信息进行处理，得到用户名和密码，判断用户是否合法，然后生成认证结果返回AC； \n[0045] 步骤112、AC记录认证结果，向Portal服务器返回认证结果； \n[0046] 步骤113、Portal服务器根据认证结果，向WLAN终端发送认证结果页面；若认证成功，则生成认证成功页面并发送至WLAN终端，否则，生成认证失败页面发送至WLAN终端； [0047] 步骤114、Portal服务器回应AC收到认证结果报文。 \n[0048] 在本实施例中，用户认证服务器可采用远程身份验证拨入用户服务(Remote Authentication Dial In User Service，简称RADIUS)服务器。 \n[0049] 本实施例实现了接入认证过程中的单向认证，即根据用户名、密码对WLAN终端进行接入认证，从而保证接入的用户身份是有效的，确定WLAN终端使用的帐户，方便了计费。 [0050] 另外，WLAN的安全性还体现在AP或者接入网络的合法性，可以通过数字证书实现对WLAN终端以及AP的合法性验证，从而保证合法的WLAN 终端接入合法的AP。 [0051] 如图5所示，为本发明的基于WEB的WLAN接入认证系统的一具体实施例结构示意图。本实施例在图1所示系统中进一步加入了证书认证服务器，用于对WLAN终端和AP的证书进行认证。 \n[0052] 如图6所示，为本发明的基于WEB的WLAN接入认证方法的对WLAN终端证书及AP证书进行验证的方法流程图，包括如下步骤： \n[0053] 步骤201、WLAN终端向AP发出接入认证请求，该接入认证请求中携带有WLAN终端证书与接入鉴别请求时间； \n[0054] 步骤202、AP将WLAN终端证书、接入鉴别请求时间、AP证书以及AP私钥对WLAN终端证书、接入鉴别请求时间及AP证书的签名生成证书认证请求，并向证书认证服务器发送； \n[0055] 步骤203、证书认证服务器验证AP的签名是否正确，若不正确，则鉴别过程失败，若正确，则验证AP和WLAN终端证书是否合法，将WLAN终端证书认证结果信息及AP证书认证结果信息构成证书认证响应，发送至AP； \n[0056] 步骤204、AP对证书认证响应进行签名验证，得到WLAN终端证书的认证结果，并将证书认证响应发送至WLAN终端；WLAN终端对证书认证响应进行签名验证，得到AP证书的认证结果。 \n[0057] 当WLAN终端和AP均通过证书验证后，就可保证WLAN终端及AP的合法性，从而保证合法的WLAN终端接入合法的AP。 \n[0058] WLAN采用公共的电磁波作为载体，任何人都有条件窃听或干扰信息，为了保证数据传输的安全性，可在证书验证后，进一步加入协商密钥的步骤，从而保证WLAN终端与AP之间的数据安全传输。 \n[0059] 密钥包括单播密钥及组播密钥。在AP与WLAN终端协商单播密钥时，AP判断WLAN终端证书是否通过认证，若通过认证，则向WLAN终端发送密钥协商请求，该密钥协商请求中包括用WLAN终端公钥加密的协商数据和AP签名信息以及算法协商信息；WLAN终端对密钥协商请求进行签名验证， 若验证通过并且AP证书通过认证，则生成密钥协商数据，利用AP公钥加密，并向AP发送；双方利用密钥协商数据生成单播会话密钥。在AP通知WLAN终端组播密钥时，AP向WLAN终端发送组播密钥通告，该通告中携带有AP发送的组播数据信息加密使用的密钥；WLAN终端验证AP发送的组播密钥通告的有效性后，向AP返回组播密钥响应。 \n[0060] 如图7所示，为本发明的基于WEB的WLAN接入认证方法另一具体实施例流程示意图，包括如下步骤： \n[0061] 步骤301、WLAN终端向AP发出接入认证请求，该接入认证请求中携带有WLAN终端证书与接入鉴别请求时间； \n[0062] 步骤302、AP将WLAN终端证书、接入鉴别请求时间、AP证书以及AP私钥对WLAN终端证书、接入鉴别请求时间及AP证书的签名生成证书认证请求，并向证书认证服务器发送； \n[0063] 步骤303、证书认证服务器验证AP的签名是否正确，若不正确，则鉴别过程失败，若正确，则验证AP和WLAN终端证书是否合法，将WLAN终端证书认证结果信息及AP证书认证结果信息构成证书认证响应，发送至AP； \n[0064] 步骤304、AP对证书认证响应进行签名验证，得到WLAN终端证书的认证结果，并将证书认证响应发送至WLAN终端；WLAN终端对证书认证响应进行签名验证，得到AP证书的认证结果； \n[0065] 步骤305、AP判断WLAN终端证书是否通过认证，若通过认证，则向WLAN终端发送密钥协商请求，该密钥协商请求中包括用WLAN终端解密的协商数据和AP签名信息以及算法协商信息； \n[0066] 步骤306、WLAN终端对密钥协商请求进行签名验证，若验证通过并且AP证书通过认证，则生成密钥协商数据，利用AP公钥加密，并向AP发送；双方利用密钥协商数据生成单播会话密钥； \n[0067] 步骤307、AP向WLAN终端发送组播密钥通告，该通告中携带有AP发送的组播数据信息加密使用的密钥； \n[0068] 步骤308、WLAN终端验证AP发送的组播密钥通告的有效性后，向AP返回组播密钥响应； \n[0069] 步骤309、WLAN终端通过标准的DHCP协议，通过AC获取到规划的IP地址； [0070] 步骤310、用户打开WEB浏览器，如IE，访问某个网站，WLAN终端发起HTTP请求； [0071] 步骤311、AC截获该HTTP请求，根据认证状态表判断用户没有认证过，将该HTTP请求重定向至Portal服务器； \n[0072] 步骤312、Portal服务器向WLAN用户终端发送WEB认证页面； \n[0073] 步骤313、用户在认证页面上填入用户名、密码等信息，WLAN终端将填入用户名密码的认证页面提交到Portal服务器； \n[0074] 步骤314、Portal服务器接收到用户信息，向AC请求挑战(Challenge)； [0075] 步骤315、AC返回挑战码标识(Challenge ID)和挑战码； \n[0076] 步骤316、Portal服务器根据预先定义的算法，如MD5算法，将密码、Challenge ID及挑战码生成挑战密码(Challenge-Password)，和用户名一起生成认证请求，提交到AC，发起认证； \n[0077] 步骤317、AC将Challenge ID、挑战码、Challenge-Password和用户名一起送到用户认证服务器，由用户认证服务器进行认证； \n[0078] 步骤318、用户认证服务器根据用户信息判断用户是否合法，然后生成认证结果返回AC； \n[0079] 步骤319、AC向Portal服务器返回认证结果； \n[0080] 步骤320、Portal服务器根据认证结果生成认证结果页面，并向WLAN终端发送； [0081] 步骤321、Portal服务器回应AC收到认证结果报文。 \n[0082] 本发明实施例实现了WLAN终端与AP的双向认证以及WLAN终端与AP间数据传输的安全性，对用户名、密码的认证可以确定WLAN终端使用 的帐户，从而方便了计费。 [0083] 最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解，依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。