一种终端快速登录WiFi热点的方法

一种终端快速登录WiFi热点的方法
【技术领域】
[0001]本发明涉及无线通信领域，更具体地，涉及一种实现终端快速安全登录WiFi热点的方法。
【背景技术】
[0002]IEEE 802.1li提供了登录WiFi热点的标准协议，目前企业模式的WiFi登录方案常用的技术是MS-CHAP-V2+PEAP+RADIUS认证。其中，RADIUS认证是负责热点和认证服务器直接的通信，PEAP是终端和认证服务器之间的认证通信协议，而MS-CHAP-V2是终端和服务器之间的相互认证协议，即PEAP负责终端和认证服务器之间认证信息的传输和交换，而MS-CHAP-V2负责具体的认证操作。
[0003]在以上的过程中，终端和服务器经过热点转发进行近十次的往返通信后相互认证成功，然后终端和热点使用同一个PMK来进行WAP2的四次握手过程以建立两者间的加密连接。
[0004]PEAP-TLS隧道建立过程:
(1)热点向终端发送一个EAP-Request/Identity消息；
(2)终端向热点回复一个EAP-Response/Identity消息；
(3)热点把这个消息转发给RADIUS认证服务器；
(4)RADIUS认证服务器发送一个EAP-Request/PEAP/Start消息，经过热点转发给终端;
(5)终端生成一个随机数、终端支持的加密算法列表、TLS协议会话ID、以及压缩方法(目前均为NULL)，封装在EAP-Response/Client Hello报文中发送给热点设备；
(6)热点将EAP-Response/Client Hello 转发给 RADIUS 认证服务器；
(7)RADIUS认证服务器从EAP-Response/Client Hello报文的加密算法列表中选择自己支持的一组加密算法，包括RADIUS认证服务器产生的随机数、RADIUS服务器证书(包含服务器的名称和公钥)、证书请求、Server_Hello_Done属性生成一个Server Hello报文封装在EAP-Request/Access-Challenge报文中，发送给终端；
(8)热点将EAP-Request/Access-Challenge 报文转发给终端；
(9)终端验证服务器的证书是否合法，即对网络进行认证，如果合法则提取服务器证书中的公钥，同时生成一个随机密码串pre-master-secret,并使用RADIUS服务器的公钥对其进行加密，最后将加密的信息ClientKeyExchange、终端的证书、TLS Finished属性封装成EAP-Response/TLS OK报文发送给热点。
[0005](10)热点将EAP-Response/TLS OK报文转发给认证RADIUS服务器。
[0006](11) RADIUS服务器用自己的证书对应的私钥对ClientKeyExchange进行解密，从而获取到pre-master-secret,然后将pre-master-secret进行运算处理，结合Client和Server生成的随机数，生成加密密钥、加密初始化向量和hmac的密钥，RADIUS服务器借助hmac的密钥，对要在TLS通道内进行认证的消息做安全的摘要处理，然后和认证消息放到一起。借助加密密钥，加密初始化向量加密上面的消息，封装在Access-Challenge/EAP-Request报文中，发送给终端。
[0007]在PEAP-TLS隧道创建后，终端和服务器之间采用MS-CHAP-V2认证的过程:
(12)热点将 Access-Challenge/EAP-Request 报文转发给终端。
[0008](13)终端用服务器相同的方法生成加密密钥，加密初始化向量和hmac的密钥，并用相应的密钥及其方法对报文进行解密和校验，然后产生认证回应报文，用密钥进行加密和校验，最后封装成EAP-Response报文发送给热点。
[0009](14)热点将EAP-Response报文转发给RADIUS认证服务器。
[0010](15) RADIUS认证服务器向终端发送一个EAP-Request/Identity消息。
[0011](16)终端向RADIUS服务器发送一个EAP-Response/Identity消息，包含用户名。
[0012](17) RADIUS 认证服务器向终端发送一个 EAP-Request/EAP-MS-CHAP-V2 挑战消息，包含挑战字符串。
[0013](18)终端向服务器回复一个EAP-Response/EAP-MS-CHAP-V2回复消息，包含以用户密码生成的对这个挑战的应答和一个自己的挑战。
[0014](19) RADIUS 认证服务器向终端发送一个 EAP-Request/EAP-MS-CHAP-V2 成功的消息，指出终端的回应是正确的，且包含终端的挑战字符串。
[0015](20)终端向终端回应一个EAP-Response/EAP-MS-CHAP-V2 的消息，指示 RADIUS 认证服务器的回应消息是正确的。
[0016](21) RADIUS认证服务器向终端发送一个Access_accept/EAP_Success消息(其中包括PMK)。
[0017](22)热点提取 Access-Accept/EAP-Success 消息中的 PMK,发送 ΕΑΡ-Success 报文给终端。
[0018]以下相关技术对当前终端快速登录WiFi热点的问题给出多个具体的技术方案。
[0019]一种EAP认证触发方法及系统、接入网设备、终端设备，通过在接入网设备接收的终端设备发送的第一管理帧中携带所述终端设备的标识，使得所述接入网设备生成包含所述终端设备的标识的EAP响应/标识消息，并将所述EAP响应/标识消息发送给认证服务器，以使得所述认证服务器与所述终端设备执行EAP认证方法，解决了终端设备与网络侧设备之间交互的消息较多的问题，EAP认证过程时间有较大缩短，从而提高了 EAP认证的执行效率，以及降低了接入网设备的信令处理负担。
[0020]一种在无线网络中快速漫游切换的方法，该方法在802.1X认证服务器通过无线控制器向第一个无线访问点和无线终端下发单播主密钥时，无线控制器截取并存储所述的单播主密钥，再由无线控制器下发给其余各个无线访问点并储存，从而使无线终端在漫游过程中，只需要进行一次完整的802.1X身份验证，当其切换至其它的无线访问点时，仅需进行四次握手即可完成各无线访问点间的切换，实现快速切换。
[0021]一种应用于无线局域网中的隐藏身份且适合资源受限终端的EAP认证方法，该方法通过客户端向服务器端发送身份标识ClientID，如果标识不符，则断开连接；如果标识正确，则开始进行认证；客户端与服务器端要有一个共享密钥PSK，通过PSK使用哈希函数推导出认证需要的AK，EK两个密钥；客户端与服务器端进行双向认证；服务器端给客户端发送一个随机生成的字符串作为新的标识来替换旧的标识，下次连接客户端使用新的标识进行认证。该方法整个认证流程采用对称加密思想，进而减少了运算量，利于资源受限终端的部署。利用每次为客户端分配一个新的用户身份标识，能够对用户身份进行动态保护，隐藏用户身份。
[0022]一种支持快速接入认证的系统和方法，该方法中当设备终端切换AP的控制域或重新登录时，认证服务器查找其地址认证列表，若找到与设备终端匹配的IP和MAC地址则认证通过，否则请求用户重新输入用户名和密码，然后认证服务器查找其用户认证列表，若找到匹配的用户名和密码则认证通过，否则认证失败，此时认证服务器请求重新输入用户名和密码。大大缩短了重新接入认证的时间，提高了通信质量，用户仅需在首次认证时输入用户名和密码，后续切换及重新登录无需重复输入。

【发明内容】

[0023]本发明首先提出一种终端快速登录WiFi热点的方法，该方法只需在终端和服务器之间往返一次通信就可以完成身份互认和PMK生成，在不减弱安全性的前提下有效减少服务器和网络通信负载，减少协议状态，改善系统的扩展性和复杂度。
[0024]为达到上述目的，本发明的技术方案具体为:
一种终端快速登录WiFi热点的方法，终端和服务器之间的通信经热点转发；
(1)热点请求终端上报用户账号z；
(2)终端经热点转发向服务器发送认证请求,包含{z,s，a, x=hash(p, a)}；
其中s是终端当前新生成的一个随机数，a是从终端的本地随机数表中获取的一个随机数；如果本地随机数表为空，则随机数a=0，hash为任意哈希函数；
(3)服务器收到认证请求，并以a为关键字查询用户账号z的随机数表，若无记录则服务器往终端发送认证失败的消息，包含{y=hash(p, s, rl, r2......rk), rl, r2......rk},然后跳转到步骤(5)；
{rl, r2......rk}是从用户账号z的随机数表选取的k>=l个随机数；
(4)服务器以用户账号z为关键字查询用户密码P，然后验证收到的X与hash(p，a)是否相符，相符则服务器从随机数表中删除a，并生成一个新的随机数r添加到随机数表中，然后往热点发送PMK=hash (p, s, a),并往终端发送认证成功的消息,包含{y=hash (p, s, r),r};否则服务器往热点发送认证失败消息，然后跳到步骤(8)；
(5)终端验证认证结果消息中的y与hash(p,s, r)或者hash(p, s, rl, r2......rk)是否相符，相符则跳到步骤(6)，否则跳到步骤(8)；
(6)终端从认证结果消息中提取所包含的随机数r或者随机数{rl，r2……rk}并更新到本地随机数表，然后从本地随机数表删除随机数a ；
(7)终端如果在步骤(5)中收到成功的认证结果,则以PMK=hash(p,s, a)与热点进行WPA2四次握手来建立连接；
(8)结束。
[0025]优选的，用户在服务器上注册{用户的账号z，用户的密码p}，用户的账号z全局唯一；用户的密码P只有用户自己和服务器知晓；用户在服务器和终端各有一个随机数表，当用户注册时服务器为其创建一个随机数表，其中包含若干个新生成的随机数，用户在终端的本地随机数表初始化为空；服务器、热点和终端的任意两者之间通过建立保密安全信道来进行信息交换。
[0026]优选的，在服务器和热点之间使用RADIUS协议通信；在热点和终端之间使用802.1X协议通信；在服务器和终端之间使用PEAP协议通信，并使用MS-CHAP-V2协议相互认证。
[0027]优选的，终端从服务器获取随机数有两种方法，在终端有网络连接的时候从服务器拉取或在终端登录WiFi热点的时候从服务器返回的消息中携带；
其中当终端有网络连接时终端获取随机数的方法:
(11)终端向服务器申请获取随机数；
(12)服务器收到终端的请