一种认证方法、认证服务器、网管系统及认证系统与流程
本发明涉及数据通信技术,特别涉及基于802.1x的认证方法及认证系统。
背景技术:
wifi的认证方法有open(开放,不认证不加密)、wep(wiredequivalentprivacy,有线等效加密)、wpa(wi-fiprotectedaccess)/wpa2psk和wpa/wpa2802.1x(基于端口的链路认证),其中wpa/wpa2802.1x由于安全性高,在商用领域被广泛采用。
但是,wpa/wap2802.1x需要在认证端维护固定的用户名和密码,存在维护成本高的问题,同时,固定的用户名和密码存在泄漏的缺点。
针对wpa/wpa2802.1x的缺点,业界发展出以下的解决方法:
1、面向移动终端的无线网络的短信身份认证方法。原理是通过认证系统通过短信推送安全连接,终端使用移动数据通道访问安全连接进行认证,认证通过后可以访问wifi网络。
2、通过移动终端的微信或qq进行认证的方法。
上述方法中,一是需要使用移动终端数据通道,在没有数据通道和数据通道不佳的时候,无法使用;二是ap(accesspoint,接入点)的认证模式一般是开放的,终端在认证前已经连接上wifi网络,安全性不足;三是终端必须要额外安装微信或者qq等软件。
可见,现有的方法虽然能够解决用户名和密码管理的可维护性,但是存在使用场景不够广泛及安全性不足的问题。
技术实现要素:
本发明的目的就是为了解决目前wifi的wpa/wap2802.1x认证所存在的使用场景不够广泛及安全性不足的问题,提供一种认证方法、认证服务器、网管系统及认证系统。
第一方面,本发明实施例提供一种认证方法,其特征在于,包括以下步骤:
步骤1、移动终端向接入点发送eap-request/identity认证报文,认证报文中携带该移动终端的手机号码及终端类型;
步骤2、接入点接收到认证报文,将其透传至认证服务器;
步骤3、认证服务器根据接收到的认证报文中的终端类型判断认证发起方是移动通讯终端时,将认证报文中的手机号码发送给网管系统;
步骤4、网管系统判断该手机号码是可以服务的用户后,生成动态密码,并发送给认证服务器;
步骤5、认证服务器创建用户名为手机号码且密码为所述动态密码的账户,并设置过期时间,且将过期时间发送给网管系统;
步骤6、网管系统通过短信将动态密码和过期时间发送给移动终端;
步骤7、移动终端通过手机号码及动态密码与认证服务器进行802.1x认证过程,合法接入wifi网络。
具体的,步骤1中,所述移动终端为移动通讯终端和/或笔记本电脑。
进一步的,步骤3中,所述移动通讯终端为手机和/或支持短信功能且具有手机号码的平板电脑。
具体的,步骤5中,所述过期时间为当前时间加上预设的有效时间;所述预设的有效时间由wifi提供方根据情况进行设置。
本发明实施例提供的认证方法,由于采用移动通讯终端的手机号码,确保了用户名的合法性和唯一性,通过与移动通讯终端的短信结合,实现了密码的动态管理,减少了运营维护的成本,并解决了固定密码的安全漏洞,由于采用eap-request/网管系统发送认证报文,适用范围广,在没有移动数据服务或者服务不佳的场景下也可以使用。
第二方面,本发明实施例提供一种认证服务器,其特征在于,包括用户管理模块及用户认证模块,
所述用户管理模块,用于接收无线接入点发送的来自移动终端的eap-request/identity认证报文后,根据接收到的认证报文中的终端类型判断认证发起方是移动通讯终端后,完成用户类型的识别和用户手机号码的识别,还用于将所述认证报文中携带的移动终端的手机号码发送给网管系统后,接收所述网管系统返回的动态密码;创建用户名为手机号码且密码为所述动态密码的账户,并设置过期时间;将所述过期时间发送给网管系统,以使网管系统将所述动态密码和所述过期时间发送给所述移动终端;
所述用户认证模块,用于使用移动终端的手机号码和所述动态密码对所述移动终端进行802.1x认证。
第三方面,本发明实施例提供一种网管系统,其特征在于,包括业务控制模块及短信模块;
所述业务控制模块,用于接收认证服务器发送来的手机号码,当该手机号码为可以服务的用户时,生成动态密码,并发送给认证服务器,接收认证服务器发送来的过期时间,并将手机号码、动态密码及过期时间一起发送给短信模块;
所述短信模块,用于根据接收到的手机号码、动态密码及过期时间生成短信并发送给对应手机号码。
第四方面,本发明实施例提供一种认证系统,其特征在于,包括认证服务器、接入点以及网管系统,
所述接入点,用于接收欲连接wifi的移动终端发送的eap-request/identity认证报文,并将其透传给认证服务器;所述认证报文中携带该移动终端的手机号码及终端类型;
所述认证服务器,用于当接收到无线接入点发送的来自移动终端的认证报文时,判断认证报文中的终端类型为移动通讯终端时,将认证报文中的手机号码发送给网管系统,接收网管系统发送来的动态密码,创建用户名为手机号码且密码为动态密码的账户,并设置过期时间,且将过期时间发送给网管系统,接收移动终端发送的手机号码及动态密码,对其进行802.1x认证;
所述网管系统,用于接收认证服务器发送来的手机号码,当手机号码为可以服务的用户时,生成动态密码,并发送给认证服务器,接收认证服务器发送来的过期时间,通过短信将动态密码及过期时间发送给对应的移动终端。
具体的,所述认证服务器包括用户管理模块及用户认证模块,
所述用户管理模块,用于接收无线接入点发送的来自移动终端的eap-request/identity认证报文后,根据接收到的认证报文中的终端类型判断认证发起方是移动通讯终端后,完成用户类型的识别和用户手机号码的识别,还用于将所述认证报文中携带的移动终端的手机号码发送给网管系统后,接收所述网管系统返回的动态密码;创建用户名为手机号码且密码为所述动态密码的账户,并设置过期时间;将所述过期时间发送给网管系统,以使网管系统将所述动态密码和所述过期时间发送给所述移动终端;
所述用户认证模块,用于使用移动终端的手机号码和所述动态密码对所述移动终端进行802.1x认证。
进一步的,所述网管系统包括业务控制模块及短信模块,
所述业务控制模块,用于接收认证服务器发送来的手机号码,当该手机号码为可以服务的用户时,生成动态密码,并发送给认证服务器,接收认证服务器发送来的过期时间,并将手机号码、动态密码及过期时间一起发送给短信模块;
所述短信模块,用于根据接收到的手机号码、动态密码及过期时间生成短信并发送给对应手机号码。
具体的,所述移动通讯终端为手机和/或支持短信功能且具有手机号码的平板电脑。
再进一步的,判断该手机号码是否为可以服务的用户的方法为:在网管系统中预设业务策略,根据业务策略判断是否为该手机号码提供服务。
具体的,所述业务策略为预设多个手机号码,当所接收到的手机号码能够与预设的多个手机号码匹配时,为其提供服务。
本发明的有益效果是,上述一种认证方法、认证服务器、网管系统及认证系统,由于采用移动通讯终端的手机号码,确保了用户名的合法性和唯一性,通过与移动通讯终端的短信结合,实现了密码的动态管理,减少了运营维护的成本,并解决了固定密码的安全漏洞,由于采用eap-request/网管系统发送认证报文,适用范围广,在没有移动数据服务或者服务不佳的场景下也可以使用。
附图说明
图1是本发明实施例提供的认证方法的流程图;
图2是本发明实施例提供的认证服务器的结构框图;
图3是本发明实施例提供的网管系统的结构框图;
图4是本发明实施例提供的认证系统的结构框图。
具体实施方式
下面结合实施例及附图,详细描述本发明的技术方案。
本发明所述的一种认证方法为:首先移动终端向接入点发送eap-request/identity认证报文,认证报文中携带该移动终端的手机号码及终端类型,当接入点接收到认证报文,将其透传至认证服务器,认证服务器再根据接收到的认证报文中的终端类型判断认证发起方是移动通讯终端时,将认证报文中的手机号码发送给网管系统,网管系统再判断该手机号码是可以服务的用户后,生成动态密码,并发送给认证服务器,认证服务器然后再创建用户名为手机号码且密码为所述动态密码的账户,并设置过期时间,且将过期时间发送给网管系统,网管系统然后再通过短信将动态密码和过期时间发送给移动终端,最后移动终端通过手机号码及动态密码与认证服务器进行802.1x认证过程,合法接入wifi网络。
本发明所述的一种认证服务器,包括用户管理模块及用户认证模块,其中,用户管理模块用于接收无线接入点发送的来自移动终端的eap-request/identity认证报文后,根据接收到的认证报文中的终端类型判断认证发起方是移动通讯终端后,完成用户类型的识别和用户手机号码的识别,还用于将所述认证报文中携带的移动终端的手机号码发送给网管系统后,接收所述网管系统返回的动态密码;创建用户名为手机号码且密码为所述动态密码的账户,并设置过期时间;将所述过期时间发送给网管系统,以使网管系统将所述动态密码和所述过期时间发送给所述移动终端;用户认证模块用于使用移动终端的手机号码和所述动态密码对所述移动终端进行802.1x认证。
本发明所述的一种网管系统,包括业务控制模块及短信模块,其中,业务控制模块用于接收认证服务器发送来的手机号码,当该手机号码为可以服务的用户时,生成动态密码,并发送给认证服务器,接收认证服务器发送来的过期时间,并将手机号码、动态密码及过期时间一起发送给短信模块;短信模块用于根据接收到的手机号码、动态密码及过期时间生成短信并发送给对应手机号码。
本发明所述的一种认证系统,包括认证服务器、接入点及网管系统,其中,接入点用于接收欲连接wifi的移动终端发送的eap-request/identity认证报文,并将其透传给认证服务器;所述认证报文中携带该移动终端的手机号码及终端类型;认证服务器用于当接收到无线接入点发送的来自移动终端的认证报文时,判断认证报文中的终端类型为移动通讯终端时,将认证报文中的手机号码发送给网管系统,接收网管系统发送来的动态密码,创建用户名为手机号码且密码为动态密码的账户,并设置过期时间,且将过期时间发送给网管系统,接收移动终端发送的手机号码及动态密码,对其进行802.1x认证;网管系统用于接收认证服务器发送来的手机号码,当手机号码为可以服务的用户时,生成动态密码,并发送给认证服务器,接收认证服务器发送来的过期时间,通过短信将动态密码及过期时间发送给对应的移动终端。
实施例
本发明实施例中提供的一种认证方法,其流程图参见图1,包括以下具体步骤:
步骤1、移动终端向接入点发送eap-request/identity认证报文,认证报文中携带该移动终端的手机号码及终端类型。
本步骤中,移动终端可以为移动通讯终端和/或笔记本电脑等。
步骤2、接入点接收到认证报文,将其透传至认证服务器。
步骤3、认证服务器根据接收到的认证报文中的终端类型判断认证发起方是移动通讯终端时,将认证报文中的手机号码发送给网管系统。
本步骤中,移动通讯终端为手机和/或支持短信功能且具有手机号码的平板电脑等移动通讯终端,其目的在于保证具有手机号码的同时能够接收到短信,现有有些平板电脑能够插入sim卡,即具有手机号码,但其不具备电话及短信功能,可根据终端类型中的终端型号等进行判断。
步骤4、网管系统判断该手机号码是可以服务的用户后,生成动态密码,并发送给认证服务器。
步骤5、认证服务器创建用户名为手机号码且密码为所述动态密码的账户,并设置过期时间,且将过期时间发送给网管系统。
本步骤中,过期时间为当前时间加上预设的有效时间;这里,预设的有效时间由wifi提供方根据情况进行设置,如公共场合中可将有效时间预设为5-30分钟。
步骤6、网管系统通过短信将动态密码和过期时间发送给移动终端。
步骤7、移动终端通过手机号码及动态密码与认证服务器进行802.1x认证过程,合法接入wifi网络。
根据上述基于移动终端短信的wifi认证方法,可得出相应的基于移动终端短信的wifi认证系统,其系统框图参见图4,包括认证服务器、接入点及网管系统,认证服务器与网管系统连接。
这里,接入点用于接收欲连接wifi的移动终端发送的eap-request/identity认证报文,并将其透传给认证服务器;认证报文中携带该移动终端的手机号码及终端类型。
认证服务器用于当接收到无线接入点发送的来自移动终端的认证报文时,判断认证报文中的终端类型为移动通讯终端时,将认证报文中的手机号码发送给网管系统,接收网管系统发送来的动态密码,创建用户名为手机号码且密码为动态密码的账户,并设置过期时间,且将过期时间发送给网管系统,接收移动终端发送的手机号码及动态密码,对其进行802.1x认证。
本发明实施例中同时也提供了一种认证服务器,可应用于上述认证系统中,其结构框图参见图2,包括用户管理模块及用户认证模块。
其中,用户管理模块用于接收无线接入点发送的来自移动终端的eap-request/identity认证报文后,根据接收到的认证报文中的终端类型判断认证发起方是移动通讯终端后,完成用户类型的识别和用户手机号码的识别,还用于将所述认证报文中携带的移动终端的手机号码发送给网管系统后,接收所述网管系统返回的动态密码;创建用户名为手机号码且密码为所述动态密码的账户,并设置过期时间;将所述过期时间发送给网管系统,以使网管系统将所述动态密码和所述过期时间发送给所述移动终端。
用户认证模块用于使用移动终端的手机号码和所述动态密码对所述移动终端进行802.1x认证。
网管系统用于接收认证服务器发送来的手机号码,当手机号码为可以服务的用户时,生成动态密码,并发送给认证服务器,接收认证服务器发送来的过期时间,通过短信将动态密码及过期时间发送给对应的移动终端。
本发明实施例中同时也提供了一种网管系统,可应用于上述认证系统中,其结构框图参见图3,包括业务控制模块及短信模块。
其中,业务控制模块用于接收认证服务器发送来的手机号码,当该手机号码为可以服务的用户时,生成动态密码,并发送给认证服务器,接收认证服务器发送来的过期时间,并将手机号码、动态密码及过期时间一起发送给短信模块。这里,判断该手机号码是否为可以服务的用户的方法可以为:在网管系统中预设业务策略,根据业务策略判断是否为该手机号码提供服务,例如预设多个手机号码,当所接收到的手机号码能够与预设的多个手机号码匹配时,为其提供服务。
短信模块用于根据接收到的手机号码、动态密码及过期时间生成短信并发送给对应手机号码。
- 还没有人留言评论。精彩留言会获得点赞!