求,生成若干个随机数{rl,r2……rk},k>=l,并将随机数{rl,r2……rk}更新到服务器的数据库,然后将包含随机数{rl,r2……rk}的消息发送给终端;
(13)终端收到服务器发送的随机数消息,获取其中包含的随机数{rl,r2……rk}并保存到本地数据库;
(14)结束。
[0028]优选的,所述步骤(11)终端以时间周期T或由用户触发向服务器申请获取随机数。
[0029]较之现有的登录WiFi热点的技术方案,本发明具有以下独特的优点:
(I)终端和服务器双方身份相互认证只需往返通信一次,有效降低登录热点时认证所需的通信量和时延,加速登录热点的过程。
[0030](2)通过在服务器和终端使用随机数表来减少协议状态,改善系统的扩展性和复杂度。
[0031](3) PMK在生成及使用时均无需在服务器和终端之间传输,第三方无法窥探PMK,
安全度高。
[0032](4)与广泛使用的WiFi热点登录方案——PEAP+RADIUS认证协议兼容,实施容易。
【附图说明】
[0033]图1为本发明的系统示意图。
[0034]图2为本发明具体实施案例提供的终端有网络连接的时终端获取随机数的方法流程图。
[0035]图3为本发明具体实施案例提供的终端快速登录WiFi热点的方法流程图。
[0036]图4为本发明具体实施案例提供的终端快速登录WiFi热点的方法时序图。
[0037]图5为传统的(IEEE 802.1li)企业模式登录WiFi热点方法时序图。
【具体实施方式】
[0038]下面结合附图对本发明做进一步的描述,但本发明的实施方式并不限于此。
[0039]本发明的一种终端快速登录WiFi热点的系统。如图1所示,该系统包括服务器、热点、终端及其用户,热点和终端通过互联网与服务器通信。
[0040]在所述实施方式中,用户和终端满足一一对应关系,即:每个用户只使用一个终端,每个终端只属于一个用户。
[0041]在所述实施方式中,用户已在服务器注册{用户的账号z,用户的密码p},用户的账号Z全局唯一;用户的密码P只有用户自己和服务器知晓;用户在服务器和终端各有一个随机数表,当用户注册时服务器为其创建一个随机数表,其中包含若干个新生成的随机数,而用户在终端的本地随机数表初始化为空;服务器、热点和终端的任意两者之间通过建立保密安全信道来进行信息交换。在服务器和热点之间使用RADIUS协议通信;在热点和终端之间使用802.1X协议通信;在服务器和终端之间使用PEAP协议通信,并使用MS-CHAP-V2协议相互认证。终端有一个或多个网络接口,比如一个3G移动网络接口和一个WiFi无线网络接口。
[0042]如图2,当终端有网络连接时终端获取随机数的方法:
SlOl:用户通过终端以{用户的账号,用户的密码}登录服务器。
[0043]S102:用户通过终端请求获取随机数。
[0044]S103:服务器收到终端的请求,生成3个随机数{rl,r2, r3},并将生成的随机数{rl,r2,r3}更新到服务器的数据库,然后将一个包含这些随机数{rl,r2,r3}记录的消息发送给终端。
[0045]S104:终端收到服务器发送的消息,获取其中包含的随机数{rl,r2,r3}记录并保存到本地数据库。
[0046]S105:结束。
[0047]如图3,为终端登录WiFi热点的方法,把本发明的快速登录方法嵌入到传统的PEAP方法里,体现了本发明与已有协议的良好兼容性。
[0048]S201:热点请求终端上报用户的账号z。
[0049]S202:终端经热点转发向服务器发送认证请求,包含{z, s,a, X=SHAl (p, a)}。
[0050]此步骤中,s是终端当前新生成的一个随机数;a是从终端的本地随机数表中获取的一个随机数;如果本地随机数表为空,则随机数a=0。
[0051]S203:服务器收到认证请求,判断消息中是否包含随机数s,如是则跳转到步骤S204进行快速登录,否则跳转到S209进行传统的PEAP登录。
[0052]S204:服务器以a为关键字查询用户的账号z的随机数表,若无记录则服务器往终端发送认证失败的消息,包含{y=SHAl (p, s,rl,r2,r3), rl, r2, r3},然后跳转到步骤S206。
[0053]此步骤中,{rl,r2,r3}是从用户的账号z的随机数表按特定方式选取的3个随机数。
[0054]S205:服务器以用户的账号z为关键字查询用户的密码P,然后验证收到的X与SHAl (p,a)是否相符。若相符,则服务器从随机数表中删除a,并生成一个新的随机数r添加到随机数表中;然后往热点发送PMK=SHAl (p,S,a),并往终端发送认证成功的消息,包含Iy=SHAl (p,s,r),r}。若不相符,则服务器往热点发送认证失败消息,跳到步骤S210。
[0055]S206:终端验证认证结果(成功或者失败)消息中的y与SHAl (p,s,r)或者SHAl (p,s,rl,r2,r3)是否相符。如否则跳到步骤S210。
[0056]S207:终端从认证结果消息中提取所包含的随机数r或者随机数{rl,r2, r3}并更新到本地随机数表,然后从本地随机数表删除a。
[0057]S208:终端如果在步骤S206中收到的认证结果是成功,则以PMK=SHAl (p,s,a)与热点进行WPA2四次握手来建立连接。跳转到步骤S210。
[0058]S209:执行传统的 PEAP 登录过程(IEEE 802.lli)。
[0059]S210:结束。
[0060]如图4、5,较之传统的(IEEE 802.lli)企业模式登录WiFi热点方法,本发明具有以下独特的优点:
(I)终端和服务器双方身份相互认证只需往返通信一次,有效降低登录热点时认证所需的通信量和时延,加速登录热点的过程。
[0061](2)通过在服务器和终端使用随机数表来减少协议状态,改善系统的扩展性和复杂度。
[0062](3)允许用户预先获取随机数,之后用其生成PMK并快速登录WiFi热点,这两个过程相互独立。PMK在生成及使用时均无需在服务器和终端之间传输,第三方无法窥探PMK,
安全度高。
[0063]上述具体实施方案及实例仅为本专利的优选实施方案及实例,不能理解为对本专利的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
【主权项】
1.一种终端快速登录WiFi热点的方法,终端和服务器之间的通信经热点转发;其特征在于, (1)热点请求终端上报用户账号Z; (2)终端经热点转发向服务器发送认证请求,包含{z,s,a, x=hash(p, a)}; 其中s是终端当前新生成的一个随机数,a是从终端的本地随机数表中获取的一个随机数;如果本地随机数表为空,则随机数a=0,hash为任意哈希函数; (3)服务器收到认证请求,并以a为关键字查询用户账号z的随机数表,若无记录则服务器往终端发送认证失败的消息,包含{y=hash(p, s, rl, r2......rk), rl, r2......rk},然后跳转到步骤(5); {rl, r2......rk}是从用户账号z的随机数表选取的k>=l个随机数; (4)服务器以用户账号z为关键字查询用户密码P,然后验证收到的X与hash(p,a)是否相符,相符则服务器从随机数表中删除a,并生成一个新的随机数r添加到随机数表中,然后往热点发送PMK=hash (p, s, a),并往终端发送认证成功的消息,包含{y=hash (p, s, r),r};否则服务器往热点发送认证失败消息,然后跳到步骤(8); (5)终端验证认证结果消息中的y与hash(p,s, r)或者hash(p, s, rl, r2......rk)是否相符,相符则跳到步骤(6),否则跳到步骤(8); (6)终端从认证结果消息中提取所包含的随机数r或者随机数{rl,r2……rk}并更新到本地随机数表,然后从本地随机数表删除随机数a ; (7)终端如果在步骤(5)中收到成功的认证结果,则以PMK=hash(p,s, a)与热点进行WPA2四次握手来建立连接; (8)结束。
2.根据权利要求1所述的终端快速登录WiFi热点的方法,其特征在于,用户在服务器上注册{用户的账号z,用户的密码p},用户的账号z全局唯一;用户的密码P只有用户自己和服务器知晓;用户在服务器和终端各有一个随机数表,当用户注册时服务器为其创建一个随机数表,其中包含若干个新生成的随机数,用户在终端的本地随机数表初始化为空;服务器、热点和终端的任意两者之间通过建立保密安全信道来进行信息交换。
3.根据权利要求2所述的终端快速登录WiFi热点的方法,其特征在于,在服务器和热点之间使用RADIUS协议通信;在热点和终端之间使用802.1X协议通信;在服务器和终端之间使用PEAP协议通信,并使用MS-CHAP-V2协议相互认证。
4.根据权利要求3所述的终端快速登录WiFi热点的方法,其特征在于,终端从服务器获取随机数有两种方法,在终端有网络连接的时候从服务器拉取或在终端登录WiFi热点的时候从服务器返回的消息中携带; 其中当终端有网络连接时终端获取随机数的方法: (11)终端向服务器申请获取随机数; (12)服务器收到终端的请求,生成若干个随机数{rl,r2……rk},k>=l,并将随机数{rl,r2……rk}更新到服务器的数据库,然后将包含随机数{rl,r2……rk}的消息发送给终端; (13)终端收到服务器发送的随机数消息,获取其中包含的随机数{rl,r2……rk}并保存到本地数据库; (14)结束。
5.根据权利要求4所述的终端快速登录WiFi热点的方法,其特征在于,所述步骤(11)终端以时间周期T或由用户触发向服务器申请获取随机数。
【专利摘要】本发明提出一种终端快速登录WiFi热点的方法,该方法在登录过程中终端和服务器双方身份相互认证只需往返通信一次,有效降低登录热点时认证所需的通信量和时延,加速登录热点的过程。其次通过在服务器和终端使用随机数表来减少协议状态,改善系统的扩展性和复杂度。PMK在生成及使用时均无需在服务器和终端之间传输,第三方无法窥探PMK,安全度高。与广泛使用的WiFi热点登录方案——PEAP+RADIUS认证协议兼容,实施容易。
【IPC分类】H04L29-06
【公开号】CN104683343
【申请号】CN201510094715
【发明人】何自强, 陈楠, 劳斌, 农革
【申请人】中山大学
【公开日】2015年6月3日
【申请日】2015年3月3日