一种在无线局域网中终端认证的方法和装置与流程
本发明涉及数据通信领域,尤其是一种在无线局域网中终端认证的方法和装置。
背景技术:
随着无线网络使用的普及,无线网络安全,越来越受到关注,早期的wep(wiredequivalentprivacy,有线等效保密)认证方式由于易于被破解已废弃不用,目前业界用的比较多的是802.11i标准中规定的psk(pre-sharedkey,预共享密钥)和802.1x认证方式,两者的区别是获取pmk(pairwisemasterkey,成对主密钥)的方式不同,psk是根据设备端配置的密钥获取pmk的,而802.1x是认证成功后获取到pmk的。
psk认证是使用预共享密钥进行认证,设备端配置一个密钥,然后告诉用户密钥,终端使用该密钥连接网络;设备端判断所连接终端的密钥是否跟配置的相同,如果相同,则psk接入认证成功;如果密钥不同,则psk接入认证失败。
由于密钥协商过程需要4个eapol-key报文交互,所以也叫做4次握手过程。4次握手过程简单描述如下:
步骤一:无线接入点ap产生随机数anonce发送给终端sta;
步骤二:sta产生随机数snonce,计算生成ptk(pairwisetransientkey,成对临时密钥),sta将snonce发给ap,并对报文进行mic(messageintegritycode,消息完整性校验码)校验,校验结果保存在报文的mic字段;ap接收到报文之后对mic进行校验,如果校验不通过,则4次握手失败;如果校验通过,则生成ptk;
步骤三:ap再次将anonce发送给sta,指示sta临时密钥是否可用,对该消息进行mic校验;
步骤四:如果临时密钥可用,sta回应消息确认,该消息要mic校验,同时起用新密钥进行加解密。
现有无线局域网的psk认证方式大部分都采用传统psk认证方式,即所有终端都共享一个密钥,这种方案存在的缺陷是如果一个合法终端的密钥泄漏了,那么拿到该密钥的非法终端都可以接入该网络。
在其他现有技术中,在传统psk认证方式的基础上改进成独立密钥或动态密钥的认证方式。该认证方式虽然解决了传统psk认证的缺陷,但是部署上太复杂,需要radius(remoteauthenticationdialinuserservice,远程用户拨号认证系统)服务器;甚至终端接入网络还需要两次认证,增加了终端操作的复杂性。
技术实现要素:
为了解决上述技术问题,本发明的实施例采用如下技术方案:
一种在无线局域网中终端认证的方法,应用于无线接入设备中,包括:
生成与用户的身份标识对应的第一密钥和与所述第一密钥对应的第一成对主密钥pmk;
接收无线终端发送的包含所述无线终端根据所述用户输入的所述第一密钥和与所述第一密钥对应的第一pmk生成的第一消息完整性校验码mic的接入报文;
在密钥数据库中查找第二密钥和与所述第二密钥对应的第二pmk;
根据与所述第二密钥对应的所述第二pmk生成第二mic;
当所述第一mic与所述第二mic相同时,确定所述无线终端接入成功。
可选的,所述在密钥数据库中查找第二密钥和与所述第二密钥对应的第二pmk的步骤具体包括:
根据所述报文中所述无线终端的标识在所述密钥数据库中查找与所述报文中所述无线终端的标识对应的第二密钥和与所述第二密钥对应的第二pmk。
可选的,所述在密钥数据库中查找第二密钥和与所述第二密钥对应的第二pmk的步骤具体包括:
遍历所述密钥数据库,将遍历到的密钥作为第二密钥,将与所述遍历到的密钥对应的pmk作为第二pmk;
所述方法还包括,当所述第一mic与所述第二mic相同时,将所述无线终端的标识与所述第二mic的对应关系保存到所述密钥数据库中。
可选的,所述方法还包括:生成第一随机数,将所述第一随机数发送给所述无线终端;
所述接收所述无线终端发送的包含所述无线终端根据所述第一密钥对应的第一pmk生成的第一mic的接入报文的步骤具体包括:
接收所述无线终端发送的包含所述无线终端根据所述第一密钥对应的第一pmk、所述第一随机数、所述无线终端生成的第二随机数、所述无线终端的标识和所述无线接入设备的标识生成的第一mic的接入报文。
可选的,所述方法还包括:获取所述第二随机数;
所述当查找到所述第二密钥时,根据与所述第二密钥对应的所述第二pmk生成第二mic的步骤具体包括:
当查找到所述第二密钥时,根据所述第二密钥对应的所述第二pmk、所述第一随机数、所述第二随机数、所述无线终端的标识和所述无线接入设备的标识生成第二mic。
本发明实施例的另一方面在于,提供一种在无线局域网中终端认证的装置,应用于无线接入设备中,包括:
第一密钥生成模块,用于生成与用户的身份标识对应的第一密钥和与所述第一密钥对应的第一成对主密钥pmk;
接收模块,用于接收无线终端发送的包含所述无线终端根据所述用户输入的所述第一密钥和与所述第一密钥对应的第一pmk生成的第一消息完整性校验码mic的接入报文;
查询模块,用于在密钥数据库中查找第二密钥和与所述第二密钥对应的第二pmk;
第二密钥生成模块,用于根据与所述第二密钥对应的所述第二pmk生成第二mic;
确定模块,用于当所述第一mic与所述第二mic相同时,确定所述无线终端接入成功。
可选的,所述查询模块具体用于:
根据所述报文中所述无线终端的标识在所述密钥数据库中查找与所述报文中所述无线终端的标识对应的第二密钥和与所述第二密钥对应的第二pmk。
可选的,所述查询模块具体用于:
遍历所述密钥数据库,将遍历到的密钥作为第二密钥,将与所述遍历到的密钥对应的pmk作为第二pmk;
所述装置还包括保存模块,用于当所述第一mic与所述第二mic相同时,将所述无线终端的标识与所述第二mic的对应关系保存到所述密钥数据库中。
可选的,所述装置还包括:
随机数生成模块,用于生成第一随机数;
随机数发送模块,用于将所述第一随机数发送给所述无线终端;
所述接收模块具体用于:
接收所述无线终端发送的包含所述无线终端根据所述第一密钥对应的第一pmk、所述第一随机数、所述无线终端生成的第二随机数、所述无线终端的标识和所述无线接入设备的标识生成的第一mic的接入报文。
可选的,所述装置还包括:
随机数获取模块,用于获取所述第二随机数;
所述第二密钥生成模块具体用于:
当查找到所述第二密钥时,根据所述第二密钥对应的所述第二pmk、所述第一随机数、所述第二随机数、所述无线终端的标识和所述无线接入设备的标识生成第二mic。
本发明实施例的有益效果在于:防止密钥泄露对无线网络安全造成威胁,提前计算pmk,加快终端接入网络的过程;部署简单、不需要radius服务器,可降低成本;可兼容终端已有连接传统psk网络的方式,不需要做改变。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的一种方法流程图;
图2为本发明实施例的一种方法流程图;
图3为本发明实施例的一种方法流程图;
图4为本发明实施例的一种方法流程图;
图5为本发明实施例的一种方法流程图;
图6为本发明实施例的一种装置结构图;
图7为本发明实施例的一种装置结构图;
图8为本发明实施例的一种装置结构图;
图9为本发明实施例的一种装置结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一实施例提供一种在无线局域网中终端认证的方法,应用于无线接入设备中,如图1所示,包括:
s101,生成与用户的身份标识对应的第一密钥和与所述第一密钥对应的第一成对主密钥pmk;
s103,接收无线终端发送的包含所述无线终端根据所述用户输入的所述第一密钥和与所述第一密钥对应的第一pmk生成的第一消息完整性校验码mic的接入报文;
s105,在密钥数据库中查找第二密钥和与所述第二密钥对应的第二pmk;
s107,根据与所述第二密钥对应的所述第二pmk生成第二mic;
s109,当所述第一mic与所述第二mic相同时,确定所述无线终端接入成功。
本发明实施例的有益效果在于:防止密钥泄露对无线网络安全造成威胁,提前计算pmk,加快终端接入网络的过程;部署简单、不需要radius服务器,可降低成本;可兼容终端已有连接传统psk网络的方式,不需要做改变。
可选的,在步骤s101中,生成第一密钥和与所述第一密钥对应的第一成对主密钥pmk的操作可以在web页面进行,例如,在web页面上开户,开户是指输入用户的身份标识(可以是用户名、手机号、邮箱等)用于标识第一密钥的使用者;开户可以分单个开户和批量开户:
单个开户是指手动输入一个身份标识,用于新增用户的场景。
批量开户是将所有用户的身份标识都写到csv(逗号分隔值comma-separatedvalues)文件中,然后将该csv文件导入到该无线接入设备,完成所有用户的开户。
开户时,根据输入的身份标识,为该身份标识生成一个随机的、唯一的第一密钥和与所述第一密钥对应的第一成对主密钥pmk。
将生成的第一密钥和与所述第一密钥对应的第一成对主密钥pmk存储到密钥数据库中,防止丢失;无线接入设备重启后,该密钥也仍存在。
可选的,在本发明第一实施例的基础上,本发明第二实施例如图2所示,所述步骤s105具体包括:
根据所述报文中所述无线终端的标识在所述密钥数据库中查找与所述报文中所述无线终端的标识对应的第二密钥和与所述第二密钥对应的第二pmk。
可选的,在本发明第一实施例的基础上,本发明第三实施例如图3所示,所述步骤s105具体包括:
遍历所述密钥数据库,将遍历到的密钥作为第二密钥,将与所述遍历到的密钥对应的pmk作为第二pmk;
所述方法还包括步骤s111,当所述第一mic与所述第二mic相同时,将所述无线终端的标识与所述第二mic的对应关系保存到所述密钥数据库中。
其中,遍历所述密钥数据库中的密钥,每遍历一个密钥,则用该密钥对应的pmk计算生成ptk,然后用ptk计算mic,判断是否跟无线终端发送的mic相同,如果有相同的则无线终端接入成功,并保存无线终端mac地址与该密钥的对应关系,否则无线终端接入失败。
可选的,在本发明第一实施例的基础上,本发明第四实施例如图4所示,所述方法还包括:
s1011,生成第一随机数,
s1013,将所述第一随机数发送给所述无线终端;
所述步骤s103具体包括:
接收所述无线终端发送的包含所述无线终端根据所述第一密钥对应的第一pmk、所述第一随机数、所述无线终端生成的第二随机数、所述无线终端的标识和所述无线接入设备的标识生成的第一mic的接入报文。
可选的,在本发明第一和第四实施例的基础上,本发明第五实施例如图5所示,所述方法还包括:
s1031,获取所述第二随机数;
步骤s107具体包括:
当查找到所述第二密钥时,根据所述第二密钥对应的所述第二pmk、所述第一随机数、所述第二随机数、所述无线终端的标识和所述无线接入设备的标识生成第二mic。
在本发明的一个实施例中,还可以包括以下步骤:
回收密钥:如果某个无线终端离开了无线网络,不再接入该网络。则可以将无线终端使用的密钥回收回来,只需要知道该密钥的身份标识即可删除该密钥,而不需要知道密钥。
数据迁移:假如需要更换无线接入设备,那么只需要在旧设备上在web页面操作备份数据,然后在新设备的web页面上操作恢复数据,就可以将原有旧设备的数据迁移到新设备,省去重新开户的麻烦。
本领域技术人员可以理解:本发明实施例中阐述的psk认证包括ieee802.11i协议规定的wpa-psk及wpa2-psk;本发明实施例中阐述的独立密钥psk认证也可用于扩展wapi-psk认证方式。
本发明实施例的另一方面在于,提供一种在无线局域网中终端认证的装置,应用于无线接入设备中,本发明第六实施例如图6所示,包括:
第一密钥生成模块201,用于生成与用户的身份标识对应的第一密钥和与所述第一密钥对应的第一成对主密钥pmk;
接收模块203,用于接收无线终端发送的包含所述无线终端根据所述用户输入的所述第一密钥和与所述第一密钥对应的第一pmk生成的第一消息完整性校验码mic的接入报文;
查询模块205,用于在密钥数据库中查找第二密钥和与所述第二密钥对应的第二pmk;
第二密钥生成模块207,用于根据与所述第二密钥对应的所述第二pmk生成第二mic;
确定模块209,用于当所述第一mic与所述第二mic相同时,确定所述无线终端接入成功。
可选的,在本发明第六实施例的基础上,本发明第七实施例中,所述查询模块205具体用于:
根据所述报文中所述无线终端的标识在所述密钥数据库中查找与所述报文中所述无线终端的标识对应的第二密钥和与所述第二密钥对应的第二pmk。
可选的,在本发明第六实施例的基础上,本发明第八实施例如图7所示,所述查询模块205具体用于:
遍历所述密钥数据库,将遍历到的密钥作为第二密钥,将与所述遍历到的密钥对应的pmk作为第二pmk;
所述装置还包括保存模块211,用于当所述第一mic与所述第二mic相同时,将所述无线终端的标识与所述第二mic的对应关系保存到所述密钥数据库中。
可选的,在本发明第六实施例的基础上,本发明第九实施例如图8所示,所述装置还包括:
随机数生成模块213,用于生成第一随机数;
随机数发送模块215,用于将所述第一随机数发送给所述无线终端;
所述接收模块203具体用于:
接收所述无线终端发送的包含所述无线终端根据所述第一密钥对应的第一pmk、所述第一随机数、所述无线终端生成的第二随机数、所述无线终端的标识和所述无线接入设备的标识生成的第一mic的接入报文。
可选的,在本发明第六和第九实施例的基础上,本发明第十实施例如图9所示,所述装置还包括:
随机数获取模块217,用于获取所述第二随机数;
所述第二密钥生成模块207具体用于:
当查找到所述第二密钥时,根据所述第二密钥对应的所述第二pmk、所述第一随机数、所述第二随机数、所述无线终端的标识和所述无线接入设备的标识生成第二mic。
本发明实施例的有益效果在于:防止密钥泄露对无线网络安全造成威胁,提前计算pmk,加快终端接入网络的过程;部署简单、不需要radius服务器,可降低成本;可兼容终端已有连接传统psk网络的方式,不需要做改变。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
- 还没有人留言评论。精彩留言会获得点赞!