专利名称:基于web的wlan接入认证方法及系统的制作方法
技术领域:
本发明涉及WLAN技术,尤其涉及基于WEB的WLAN接入认证方法及系统。
背景技术:
无线局域网(Wireless Local Area Network,简称WLAN)具有可移动性、 安装筒单、高灵活性和扩展能力,作为对传统有线网络的延伸,在许多特殊 环境中得到了广泛的应用。随着无线数据网络解决方案的不断推出,无线局 域网络用户不论在任何时间、任何地点都可以轻松上网。但是,由于WLAN采用公共的电磁波作为载体,任何人都有条件窃听或 干扰信息,如果WLAN缺乏安全性保障,那么会导致网络非法操作并继而影 响上层通信内容的安全。WLAN的安全性主要体现在接入控制和数据加密两 方面。接入控制保证网络只能由合法的用户接入访问,数据加密保证数据只 能被所期望的目的端接收和解密。当非法用户接入网络时,网络可能受到非 法接入者的攻击,造成网络故障,并且难以找到攻击者。当WLAN终端通过 非法接入点接入网络时,WLAN终端的安全性也难以保障,可能受到攻击, 造成数据丟失以及终端系统的瘫痪。当WLAN终端与接入点之间数据传输的 安全性不能得到保障时,二者传输的数据可能会被窃听,导致泄密。发明内容本发明的目的在于针对现有技术所存在的缺陷,提供一种基于WEB的 WLAN接入认证方法及系统,实现WLAN接入过程中对用户身份的认证。 为了实现上述目的,本发明提供了一种基于WEB的WLAN接入认证方
法,包4舌如下步骤WLAN终端与4娄入点建立物理连4妄;WLAN终端通过4妾 入控制点获取IP地址,发起HTTP请求;通过WEB页面获取WLAN终端的 用户名及密码,根据用户名及密码对WLAN终端进行用户认证。其中,根据用户名及密码对WLAN终端进行认证的步骤可具体为接入 点截获WLAN终端的HTTP请求,判断WLAN终端是否认证过,若没有则 将该HTTP请求重定向至门户服务器;门户服务器向WLAN终端发送认证页 面;WLAN终端向门户服务器返回填入用户名及密码的认证页面;门户服务 器通过接入控制点向用户认证服务器发送用户名及密码信息;用户认证服务 器判断用户是否合法,生成认证结果并发送至接入控制点,接入控制点将认 证结果返回门户服务器;门户服务器根据认证结果向WLAN终端发送认证结 果页面。在建立物理连接时,可对WLAN终端证书及接入点证书进行验证,以保 证WLAN终端及接入点的合法性;WLAN终端与接入点可进行密钥协商, 以保证数据传输的安全性。本发明还提供了一种基于WEB的WLAN接入认证系统,包括安装有 无线网卡的WLAN终端;接入点,用于WLAN终端的无线接入;接入控制 点,用于检查WLAN终端是否通过用户认证,与用户认证服务器协同完成用 户认证,并用于接入过程中的业务控制;用户认证服务器,用于进行用户认 证;门户服务器,用于向未进行用户认证的WLAN终端发送认证页面,获取 用户名及密码,以及向WLAN终端返回认证结果。本发明的基于WEB的WLAN接入认证系统还可包括证书认证服务器, 该认证服务器用于在建立物理连接时,对WLAN终端证书以及接入点证书进 行认证。本发明通过WEB方式实现了 WLAN的接入认证,保证用户身份的有效 性,并为计费提供了方便;通过基于数字证书的WLAN终端与WLAN接入 点的双向认证保证了 WLAN终端与接入点的合法性;通过物理连接建立阶段
的密钥协商实现了 WLAN终端与接入点之间的数据保密传输。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明的基于WEB的WLAN4妾入i^证系统结构示意图; 图2为本发明的基于WEB的WLAN "l矣入^人i正方法流程图; 图3为本发明的基于WEB的WLAN接入认证方法的获取WLAN终端 用户名及密码根据用户名及密码对WLAN终端进行用户认证的方法流程图; 图4为本发明的基于WEB的WLAN接入认证方法一具体实施例流程图; 图5为本发明的基于WEB的WLAN接入认证系统一具体实施例结构示意图;图6为本发明的基于WEB的WLAN接入认证方法的对WLAN终端证 书及接入点证书进行验证的方法流程图;图7为本发明的基于WEB的WLAN接入认证方法另一具体实施例流程示意图。
具体实施方式
如图1所示,为本发明的基于WEB的WLAN接入认证系统结构示意图, 包括WLAN终端,接入点(Access Point,简称AP),接入控制点(Access Controller,简称AC),用户认证服务器,以及门户服务器(Portal服务器)。 WLAN终安装有无线网卡端机WEB浏览器;AP用于WLAN终端的无线接 入;AC用于检查WLAN终端是否通过用户认证,与用户认证服务器协同完 成用户认证,并用于接入过程中的业务控制;用户认证服务器用于进行用户 认证;Portal服务器,用于向未进行用户认证的WLAN终端发送认证页面, 获取用户名及密码,以及向WLAN终端返回认证结果。如图2所示,为本发明的基于WEB的WLAN接入认证方法流程图,包括如下步-骤步骤1 、 WLAN终端与AP建立物理连接;步骤2、 WLAN终端通过AC获取IP地址,发起HTTP请求;步骤3 、通过WEB页面获取WLAN终端的用户名及密码,根据用户名 及密码对WLAN终端进行用户认证。如图3所示,为本发明的获取WLAN终端用户名及密码,根据用户名及 密码对WLAN终端进行用户认证的方法流程图,包括如下步骤步骤31 、 AC截获WLAN终端的HTTP请求;步骤32、 AC判断WLAN终端是否认证过,若没有则将该HTTP请求重 定向至Portal服务器;AC可维护一 WLAN终端认证状态表,其中记录认证 过的WLAN终端信息,根据状态表判断WLAN终端是否认证过;步骤33 、 Portal服务器向WLAN终端发送认证页面;步骤34、 WLAN终端向Portal服务器返回填入用户名及密码的认证页面;步骤35、 Portal服务器通过AC向用户认证服务器发送用户名及密码信自 步骤36、用户认证服务器判断用户是否合法,生成认证结果并发送至AC;步骤37、 AC将认证结果返回Portal服务器;步骤38、 Portal服务器根据认证结果向WLAN终端发送认证结果页面。 如图4所示,为本发明的基于WEB的WLAN接入认证方法一具体实施 例流程示意图,包括步骤101 、 WLAN终端与AP建立物理连接;步骤102、 WLAN终端通过标准的DHCP协议,通过AC获取到规划的 IP地址;步骤103、用户打开WEB浏览器,如IE,访问某个网站,WLAN终端 发起HTTP请求;
步骤104、 AC截获该HTTP请求,根据认证状态表判断用户没有认证过, 将该HTTP请求重定向到Portal服务器;步骤105、 Portal服务器向WLAN用户终端发送WEB认证页面;步骤106、用户在认证页面上填入用户名、密码等信息,WLAN终端将 填入用户名密码的认证页面提交到Portal服务器;步骤107、 Portal服务器接收到用户信息,向AC请求挑战(Challenge );步骤108、 AC返回挑战码标识(Challenge ID )和挑战码;步骤109、 Portal服务器根据预先定义的算法,如MD5算法,将密码、 Challenge ID及挑战码生成挑战密码(Challenge-Password),和用户名一起生 成i/vi正:清求,4是交到AC,发起iU正;步骤110、 AC将Challenge ID、挑战码、Challenge-Password和用户名一 起送到用户认证服务器,由用户认证服务器进行认证;步骤111 、用户认证服务器对接收到的信息进行处理,得到用户名和密码, 判断用户是否合法,然后生成认证结果返回AC;步骤112、 AC记录认证结果,向Portal服务器返回认证结果;步骤113、 Portal服务器根据认证结果,向WLAN终端发送认证结果页 面;若i^〖正成功,则生成认证成功页面并发送至WLAN终端,否则,生成i人 寸正失败页面发送至WLAN终端;步骤114、 Portal服务器回应AC收到认证结果报文。(Remote Authentication Dial In User Service,简称RADIUS )服务器。本实施例实现了接入认证过程中的单向认证,即根据用户名、密码对 WLAN终端进行接入认证,从而保证接入的用户身份是有效的,确定WLAN 终端使用的帐户,方便了计费。另外,WLAN的安全性还体现在AP或者接入网络的合法性,可以通过 数字证书实现对WLAN终端以及AP的合法性验证,从而保证合法的WLAN
终端接入合法的AP。如图5所示,为本发明的基于WEB的WLAN冲妻入i人i正系统的一具体实 施例结构示意图。本实施例在图1所示系统中进一步加入了证书认证服务器, 用于对WLAN终端和AP的证书进行认证。如图6所示,为本发明的基于WEB的WLAN接入认证方法的对WLAN 终端证书及AP证书进行验证的方法流程图,包括如下步骤步骤201、 WLAN终端向AP发出接入认证请求,该接入认证请求中携 带有WLAN终端证书与接入鉴别请求时间;步骤202、 AP将WLAN终端证书、接入鉴别请求时间、AP证书以及 AP私钥对WLAN终端证书、接入鉴别请求时间及AP证书的签名生成证书 认证请求,并向证书认证服务器发送;步骤203、证书认证服务器验证AP的签名是否正确,若不正确,则鉴别 过程失败,若正确,则验证AP和WLAN终端证书是否合法,将WLAN终 端证书认证结果信息及AP证书认证结果信息构成证书认证响应,发送至AP;步骤204、 AP对证书认证响应进行签名验证,得到WLAN终端证书的 认证结果,并将证书认证响应发送至WLAN终端;WLAN终端对证书认证 响应进行签名验证,得到AP证书的认证结果。当WLAN终端和AP均通过证书验证后,就可保证WLAN终端及AP的 合法性,从而保证合法的WLAN终端接入合法的AP。WLAN采用公共的电磁波作为载体,任何人都有条件窃听或干扰信息, 为了保证数据传输的安全性,可在证书验证后,进一步加入协商密钥的步骤, 从而保证WLAN终端与AP之间的数据安全传输。密钥包括单播密钥及组播密钥。在AP与WLAN终端协商单播密钥时, AP判断WLAN终端证书是否通过认证,若通过认证,则向WLAN终端发送 密钥协商请求,该密钥协商请求中包括用WLAN终端公钥加密的协商数据和 AP签名信息以及算法协商信息;WLAN终端对密钥协商请求进行签名验证,
若-睑证通过并且AP i正书通过^人"i正,则生成密钥协商凄t据,利用AP /^钥力口密, 并向AP发送;双方利用密钥协商数据生成单播会话密钥。在AP通知WLAN 终端组播密钥时,AP向WLAN终端发送组播密钥通告,该通告中携带有AP 发送的组播数据信息加密使用的密钥;WLAN终端验证AP发送的组播密钥 通告的有效性后,向AP返回组4番密钥响应。如图7所示,为本发明的基于WEB的WLAN接入认证方法另 一具体实 施例流程示意图,包括如下步骤步骤301、 WLAN终端向AP发出接入认证请求,该接入认证请求中携 带有WLAN终端证书与接入鉴别请求时间;步骤302、 AP将WLAN终端证书、接入鉴别请求时间、AP证书以及 AP私钥对WLAN终端证书、接入鉴别请求时间及AP证书的签名生成证书 认证请求,并向证书认证服务器发送;步骤303、证书认证服务器验证AP的签名是否正确,若不正确,则鉴别 过程失败,若正确,则验证AP和WLAN终端证书是否合法,将WLAN终 端证书认证结果信息及AP证书认证结果信息构成证书认证响应,发送至AP;步骤304、 AP对证书认证响应进行签名验证,得到WLAN终端证书的 认证结果,并将证书认证响应发送至WLAN终端;WLAN终端对证书认证 响应进行签名验证,得到AP证书的认证结果;步骤305、 AP判断WLAN终端证书是否通过认证,若通过认证,则向 WLAN终端发送密钥协商请求,该密钥协商请求中包括用WLAN终端解密 的协商数据和AP签名信息以及算法协商信息;步骤306、 WLAN终端对密钥协商请求进行签名验证,若验证通过并且 AP证书通过认证,则生成密钥协商数据,利用AP公钥加密,并向AP发送; 双方利用密钥协商数据生成单播会话密钥;步骤307、 AP向WLAN终端发送组播密钥通告,该通告中携带有AP发 送的组播数据信息加密使用的密钥;
步-骤308、 WLAN终端验i正AP发送的组纟番密钥通告的有效性后,向AP 返回组播密钥响应;步骤309、 WLAN终端通过标准的DHCP协议,通过AC获取到规划的 IP地址;步骤310、用户打开WEB浏览器,如IE,访问某个网站,WLAN终端 发起HTTP请求;步骤311 、 AC截获该HTTP请求,根据认证状态表判断用户没有认证过, 将该HTTP请求重定向至Portal服务器;步骤312、 Portal服务器向WLAN用户终端发送WEB认证页面;步骤313、用户在认证页面上填入用户名、密码等信息,WLAN终端将 填入用户名密码的认证页面提交到Portal服务器;步骤314、 Portal服务器接收到用户信息,向AC请求挑战(Challenge);步骤315、 AC返回挑战码标识(Challenge ID )和挑战码;步骤316、 Portal服务器根据预先定义的算法,如MD5算法,将密码、 Challenge ID及挑战码生成挑战密码(Challenge-Password ),和用户名 一起生 成认证请求,4是交到AC,发起认证;步骤317、 AC将Challenge ID、挑战码、Challenge-Password和用户名一 起送到用户认证服务器,由用户认证服务器进行认证;步骤318、用户认证服务器根据用户信息判断用户是否合法,然后生成 认证结果返回AC;步骤319、 AC向Portal服务器返回认证结果;步骤320、 Portal服务器根据认证结果生成认证结果页面,并向WLAN 终端发送;步骤321 、 Portal服务器回应AC收到认证结果报文。 本发明实施例实现了 WLAN终端与AP的双向认证以及WLAN终端与 AP间数据传输的安全性,对用户名、密码的认证可以确定WLAN终端使用 的巾艮户,乂人而方l更了计费。最后应当说明的是以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发 明请求保护的技术方案范围当中。
权利要求
1. 一种基于WEB的WLAN接入认证方法,包括如下步骤WLAN终端与接入点建立物理连接;WLAN终端通过接入控制点获取IP地址,发起HTTP请求;通过WEB页面获取WLAN终端的用户名及密码,根据用户名及密码对WLAN终端进行用户认证。
2、根据权利要求1所述的基于WEB的WLAN接入认证方法,其中所 述的通过WEB页面获取WLAN终端的用户名及密码,根据用户名及密码对 WLAN终端进行认证的步骤具体为接入控制点截获WLAN终端的HTTP请求,判断WLAN终端是否认证 过,若没有,则将该HTTP请求重定向至门户服务器; 门户月l务器向WLAN终端发送认证页面; WLAN终端向门户服务器返回填入用户名及密码的认证页面; 门户服务器通过接入控制点向用户认证服务器发送用户名及密码信息; 用户认证服务器判断用户是否合法,生成认证结果并发送至接入控制点, 接入控制点将认证结果返回门户服务器;门户服务器根据认证结果向WLAN终端发送认证结果页面。
3 、根据权利要求2所述的基于WEB的WLAN接入认证方法,其中所 述的门户服务器通过接入控制点向用户认证服务器发送用户名及密码信息的 步骤具体为门户服务器向接入控制点请求挑战;接入控制点向门户服务器 返回挑战码标识及挑战码;门户服务器根据用户名、密码、挑战码标识及挑 战码生成认证请求向接入控制点发送;接入控制点将认证请求携带的信息发 送至用户认证服务器。
4、 根据权利要求3所述的基于WEB的WLAN接入认证方法,其中所 述的门户服务器根据用户名、密码、挑战码标识及挑战码生成认证请求的步 骤具体为门户服务器采用预先定义的算法,根据密码、挑战码标识及挑战 码生成挑战密码,将挑战密码与用户名生成认证请求。
5、 根据权利要求4所述的基于WEB的WLAN接入认证方法,其中所 述的接入控制点将认证请求发送至用户认证服务器的步骤具体为接入控制 点将查询标识、挑战码以及认证请求中携带的挑战密码及用户名生成接入请 求发送至用户认证服务器。
6、 根据权利要求2所述的基于WEB的WLAN接入认证方法,其中还 包括接入控制点维护WLAN终端认证状态表的步骤。
7、 根据权利要求6所述的基于WEB的WLAN接入认证方法,其中所 述的判断WLAN终端是否认证过的步骤具体为根据WLAN终端认证状态 表判断WLAN终端是否认证过。
8、 根据权利要求1-7任一所述的基于WEB的WLAN接入认证方法, 其中所述的WLAN终端与接入点建立物理连接的步骤包括对WLAN终端 证书及接入点证书进行验证。
9、 根据权利要求8所述的基于WEB的WLAN接入认证方法,其中所 述的对WLAN终端证书及接入点证书进行验证的步骤具体为WLAN终端向接入点发出接入认证请求,该接入认证请求中携带有 WLAN终端证书与接入鉴别请求时间;接入点将WLAN终端证书、接入鉴别请求时间、接入点证书以及接入点 私钥对WLAN终端证书、接入鉴别请求时间及接入点证书的签名生成证书认 证请求,并向证书认证服务器发送;证书认证服务器验证接入点的签名是否正确,若不正确,则鉴别过程失 败,若正确,则验证接入点和WLAN终端证书是否合法,将WLAN终端证 书认证结果信息及AP证书认证结果信息构成证书认证响应,发送至接入点;接入点对证书认证响应进行签名验证,得到WLAN终端证书的认证结 果,并将证书认证响应发送至WLAN终端;WLAN终端对证书认证响应进 行签名验证,得到接入点证书的认证结果。
10、 #4居4又利要求8所述的基于WEB的WLAN才妄入i人i正方法,其中 所述的WLAN终端与接入点建立物理连接的步骤还包括WLAN终端与接 入点协商单播密钥的步骤,具体为若WLAN终端证书通过认证,接入点向 WLAN终端发送密钥协商请求,该密钥协商请求中包括用WLAN终端公钥 加密的协商数据和接入点签名信息以及算法协商信息;WLAN终端对密钥协 商请求进行签名验证,若验证通过并且接入点证书通过认证,则生成密钥协 商数据,利用接入点公钥加密,并向接入点发送;双方利用密钥协商数据生 成单播会话密钥。
11、 根据权利要求8所述的基于WEB的WLAN接入认证方法,其中 所述的WLAN终端与接入点建立物理连接的步骤还包括接入点通知WLAN 终端组播密钥的步骤,具体为接入点向WLAN终端发送组播密钥通告,该 通告中携带有AP发送的组播数据信息加密使用的密钥;WLAN终端验证接 入点发送的组播密钥通告的有效性后,向接入点返回组播密钥响应。
12、 一种基于WEB的WLAN接入认证系统,其中包括 安装有无线网卡的WLAN终端;接入点,用于WLAN终端的无线接入;接入控制点,用于检查WLAN终端是否通过用户认证,与用户认证服务 器协同完成用户认证,并用于接入过程中的业务控制; 用户认证服务器,用于进行用户认证;门户服务器,用于向未进行用户认证的WLAN终端发送认证页面,获取 用户名及密码,以及向WLAN终端返回认证结果。
13、 根据权利要求12所述的基于WEB的WLAN接入认证系统,其中 还包括证书认证服务器,用于在WLAN终端与接入点建立物理连接时对 WLAN终端证书以及接入点证书进行认证。
全文摘要
本发明涉及基于WEB的WLAN接入认证方法及系统,WLAN终端与接入点建立物理连接;WLAN终端通过接入控制点获取IP地址,发起HTTP请求;接入控制点将未认证的HTTP请求重定向到Portal服务器;Portal服务器、接入控制点及用户认证服务器协同完成基于用户名及密码的用户认证。本发明通过WEB方式实现了WLAN的接入认证,保证用户身份的有效性,并为计费提供了方便;通过物理连接建立时基于数字证书的WLAN终端与WLAN接入点的双向认证,保证了WLAN终端与接入点的合法性;通过物理连接建立时的密钥协商实现了WLAN终端与接入点之间的数据保密传输。
文档编号H04L9/32GK101212297SQ20061016978
公开日2008年7月2日 申请日期2006年12月28日 优先权日2006年12月28日
发明者刘利军, 周文辉, 王晓云, 邵春菊 申请人:中国移动通信集团公司