专利名称:一种无线局域网中身份认证的方法、装置及系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种无线局域网中身份认证的方法、装置及系统。
背景技术:
随着3G网络的普及,通过无线网络上传下载数据的速率越来越高,无线网络的承 载又是有限的,所以WLAN(Wireless Local AreaNetworks,无线局域网络)技术作为小区热 点被广泛采用,一方面可以降低用户的资费,另一方面也可以大大的减轻网络的负担,为用 户提供更高效的网络服务。WLAN网络的广泛采用也伴随着网络安全问题,所以WLAN协议中也定义了一些认 证加密鉴权方式,如0PEN、SHARE、WPA、WPA2等等。0PEN+WEP是其中一种最为简单常用的认 证加密组合。具体的,OPEN就是开放式的,任何人无需认证都可以连接;而WEP (Wired Equivalent Privacy,有线等效保密)是对在两台间无线传输的数据进行加密的方式,用 以防止非法用户窃听或侵入无线网络。WEP加密采用静态的保密密钥,各WLAN终端使用相 同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启动,客户端要尝试连接上 AP(Access Point,接入点)时,AP会发出一个邀请包(Challenge Packet)给客户端,客户 端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存 取网络资源。WLAN的认证鉴权过程是分开的认证和鉴权两个过程。而0PEN+WEP的认证加密方 式是在认证阶段是对认证报文不加密,在传输阶段对传输数据进行加密。由此,发明人发现现有技术中至少存在如下问题由于0PEN+WEP采用开放式认证,不对STA(无线接入终端)的身份合法性进行验 证;所以STA的入网过程报文,包括鉴权请求、鉴权响应、关联请求、关联响应、ACK报文全部 认为是正确的。但之后若STA不能传输数据,却也占用着AP的用户资源没有释放,导致后 续其他STA用正确的密码依然不能接入WLAN网络。
发明内容
本发明的实施例提供一种无线局域网中身份认证的方法、装置及系统,能够及时 断开错误的用户连接,释放资源,保证正确用户的接入。为达到上述目的,本发明的实施例采用如下技术方案一种无线局域网WLAN中身份认证的方法,适用于0PEN+WEP认证方式下的无线接 入终端STA和接入点AP之间,包括接收来自STA发送的第二认证信息;当确定所述第二认证信息与自身保存的第一认证信息不相同时,断开与所述STA 的连接;其中,所述第二认证信息为所述STA对接收到的加密的所述第一认证信息进行解密后所得。一种接入点,包括接收单元,用于接收来自无线接入终端STA发送的第二认证信息;断开判断单元,用于当确定所述第二认证信息与自身保存的第一认证信息不相同时,断开与所述STA的连接;其中,所述第二认证信息为所述STA对接收到的加密的所述第 一认证信息进行解密后所得。一种无线局域网系统,包括接入点,用于接收来自无线接入终端发送的第二认证信息;当确定所述第二认证 信息与自身保存的第一认证信息不相同时,断开与所述无线接入终端的连接;其中,所述第 二认证信息为所述无线接入终端对接收到的加密的所述第一认证信息进行解密后所得;无线接入终端,与所述接入点无线连接,用于接收来自所述接入点的加密的第一 认证信息;对所述加密的第一认证信息进行解密得到第二认证信息;将所述第二认证信息 发送给所述接入点。本发明实施例提供的无线局域网中身份认证的方法、装置及系统,AP接收来自于 STA的第二认证信息,当确定该第二认证信息与自身保存的第一认证信息不相同时,断开与 STA的连接。其中,第二认证信息为STA对接收到的加密的第一认证信息进行解密后所得。 这样,在0PEN+WEP认证加密方式下,当STA以错误的密码接入后,AP可以通过本发明实施 提供的方法判断后断开该STA的连接,从而释放了资源,保证了后续正确用户的接入。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。图1为本发明实施例提供的无线局域网中身份认证的方法的流程框图;图2为本发明另一实施例提供的无线局域网中身份认证的方法的流程框图;图3为现有技术中AP侧的TOP加密流程示意图;图4为现有技术中STA侧的TOP解密流程示意图;图5为本发明实施例提供接入点的结构框图一;图6为本发明实施例提供接入点的结构框图二 ;图7为本发明实施例提供接入点的结构框图三;图8为本发明实施例提供的无线局域网系统的结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。本发明实施例提供的无线局域网WLAN中身份认证的方法,适用于0PEN+WEP认证方式下的无线接入终端STA和接入点AP之间,如图1所示,其步骤包括S101、接收来自STA发送的第二认证信息。S102、当确定该第二认证信息与自身保存的第一认证信息不相同时,断开与该STA的连接。其中,第二认证信息为该STA对接收到的加密的第一认证信息进行解密后所得。具体的,本步骤S102可以为当一次确定第二认证信息与自身保存的第一认证信 息不相同时,断开与STA的连接;也可以为当一次确定第二认证信息与自身保存的第一认 证信息不相同时,再次接收STA发送的第二认证信息,并再次判断第二认证信息与自身保 存的第一认证信息是否相同,如此接收、判断循环预设次数次,若两者仍不相同,则断开与 STA的连接。多次循环判断,可以防止偶然错误导致连接失败,具有一定的容错性,可以保证连 接的平滑进行。本发明实施例提供的无线局域网中身份认证的方法,AP接收来自于STA的第二 认证信息,当确定该第二认证信息与自身保存的第一认证信息不相同时,断开与STA的连 接。其中,第二认证信息为STA对接收到的加密的第一认证信息进行解密后所得。这样,在 0PEN+WEP认证加密方式下,当STA以错误的密码接入后,AP可以通过本发明实施提供的方 法判断后断开该STA的连接,从而释放了资源,保证了后续正确用户的接入。本发明另一实施例提供的无线局域网WLAN中身份认证的方法,适用于0PEN+WEP 认证方式下的无线接入终端STA和接入点AP之间,其步骤如图2所示,包括S201、AP侧进行TOP加密流程,得到第一认证信息。在本实施例中该第一认证信 息既可以为第一 ICV,也可以为第一明文。具体的,如图3所示,包括1、将 AP 和 STA双方协议好的密钥(secret key)经过 PRNG (Pseudo-random number generator,伪随机数发生器)后,合成得到一个密钥流(key stream)。随机产生一个24位 数字的IV(InitializationVector,初始向量);将IV和密钥(secret key)结合(共有2 的24次方16777216种),结合后的内容经过PRNG得到用来加密的密钥流(KeyStream)。2、将明文(PlainText)(第一明文)经由完成型算法(IntegrityAlgorithm)得到 完整性校验值(Integrity Check Value, ICV)(第一 ICV)3、最后用密钥流(KeyStream)、明文(PlainText)、ICV异或加密生成密文 (CipherText)。S202、AP向STA发送加密后的信息,其中包括加密的第一认证信息。具体的,通过AP向STA回应的Authen Response (鉴权响应)将上述加密信息向 STA发出,其中包含了 1、初始向量IV,长度可以为3字节。2、KeyID,长度可以为1字节,用来指示STA需要使用四个TOPKey中的哪个Key来解密。3、密文(CipherText),长度可以为 0-2304 字节。4、ICV,长度可以为4字节。S203、STA对接收到的加密信息进行WEP解密,同时得到对第一认证信息解密后的 第二认证信息。在本实施例中,第二认证信息对应第一认证信息,既可以是第二 ICV,也可以是第二明文。具体的,如图4所示,包括1、在上述信息中AP向STA传递了 KeylD,STA根据该接收的KeyID在自身找到对应的 WEPKey。2、根据接收到的初始向量IV,通过计算得到密钥流(KeyStream)。3、利用密钥流(KeyStream)对接收到的密文(CipherText)进行再次异或,得到明 文(PlainText)(第二明文)。4、对该明文经由完整性算法,得到ICV'(第二 ICV)。进一步地,将ICV'同收到 的ICV对比,如果相同表明内容没有被篡改。至此,现有技术中,当STA以错误的密码接入,AP与STA之间的认证报文被认为完 全正确,但是两者不能传输数据。但AP并不主动踢除STA的连接,所以STA依然会占用一 个AP的用户通道。S204.AP 接收来自 STA 发送的 ICV'(第二 ICV);S205、AP判断该ICV'(第二 ICV)与自身保存的ICV(第一 ICV)是否相同,如果 不同,则再次接收STA的ICV'(第二 ICV),并判断该ICV'(第二 ICV)是否与自身保存的 ICV(第一 ICV)相同,如此循环接收、判断预设次数次(例如10次),如果仍然不相同,则AP 向STA发送去关联去认证报文,同时断开与该STA的连接。在此,多次循环接收并判断可以具有一定的容错性,可以保证连接的平滑进行。假 如循环3次时,发现ICV'与ICV相同,则说明AP与STA之间可能出现了偶然错误,并不影 响STA的正常接入。步骤S204和步骤S205是以ICV为认证信息的,也可以以明文作为认证信息,如图 中虚线部分S204'、AP接收来自STA发送的明文(第二明文);S205'、AP判断该明文(第二明文)与自身保存的明文(第一明文)是否相同, 如果不同,则再次接收STA的明文(第二明文),并判断接收的该明文(第二明文)是否与 自身保存的明文(第一明文)相同,如此循环接收、判断预设次数次(例如10次),如果仍 然不相同,则AP向STA发送去关联去认证报文,同时断开与该STA的连接。同样,多次循环接收判断可以具有一定的容错性,可以保证连接的平滑进行。本发明实施例提供的无线局域网中身份认证的方法,AP接收来自于STA的第二 认证信息,当确定该第二认证信息与自身保存的第一认证信息不相同时,断开与STA的连 接。其中,第二认证信息为STA对接收到的加密的第一认证信息进行解密后所得。这样,在 0PEN+WEP认证加密方式下,当STA以错误的密码接入后,AP可以通过本发明实施提供的方 法判断后断开该STA的连接,从而释放了资源,保证了后续正确用户的接入。本发明实施例提供的接入点50,如图5所示,该接入点50包括接收单元501,用于接收来自无线接入终端STA发送的第二认证信息。断开判断单元502,用于当确定该第二认证信息与自身保存的第一认证信息不相 同时,断开与该STA的连接;其中,第二认证信息为该STA对接收到的加密的第一认证信息 进行解密后所得。本发明实施例提供的接入点,接收来自于STA的第二认证信息,当确定该第二认证信息与自身保存的第一认证信息不相同时,断开与STA的连接。其中,第二认证信息为 STA对接收到的加密的第一认证信息进行解密后所得。这样,在OPEN+WEP认证加密方式下, 当STA以错误的密码接入后,AP可以判断后断开该STA的连接,从而释放了资源,保证了后 续正确用户的接入。进一步地,该断开判断单元502包括一次断开判断子单元5021和/或循环断开 判断子单元5022。图6所示为断开判断单元502同时包括一次断开判断子单元5021和循环断开判 断子单元5022的情况。一次断开判断子单元5021,用于当一次确定第二认证信息与自身保存的第一认证 信息不相同时,断开与STA的连接。循环断开判断子单元5022,用于当一次确定第二认证信息与自身保存的第一认证 信息不相同时,再次判断接收单元501接收的第二认证信息与自身保存的第一认证信息是 否相同,如此循环判断预设次数次,若两者仍不相同,则断开与STA的连接。这样,通过循环断开判断子单元5022的多次循环判断,可以防止偶然错误导致连 接失败,具有一定的容错性,可以保证连接的平滑进行。假如循环次数未到预设次数时,发 现第二认证信息与第一认证信息相同,则说明AP与STA之间可能出现了偶然错误,并不影 响STA的正常接入。
如图7所示,接入点50还包括存储单元503,用于保存所述第一认证信息;加密单元504,用于对所述第一认证信息进行加密;发送单元505,用于将所述加密的第一认证信息发送给STA。本发明实施例提供的无线局域网系统,如图8所示,包括接入点801,用于接收来自无线接入终端802发送的第二认证信息;当确定该第二 认证信息与自身保存的第一认证信息不相同时,断开与该无线接入终端802的连接;其中, 第二认证信息为无线接入终端802对接收到的加密的第一认证信息进行解密后所得。具体的,该接入点801的构造与上述实施例相同,在此不再赘述。无线接入终端802,与接入点801无线连接,用于接收来自接入点801的加密的第 一认证信息;对该加密的第一认证信息进行解密得到第二认证信息;将第二认证信息发送 给接入点801。本发明实施例提供的无线局域网系统,AP接收来自于STA的第二认证信息,当确 定该第二认证信息与自身保存的第一认证信息不相同时,断开与STA的连接。其中,第二认 证信息为STA对接收到的加密的第一认证信息进行解密后所得。这样,在0PEN+WEP认证加 密方式下,当STA以错误的密码接入后,AP可以判断后断开该STA的连接,从而释放了资源, 保证了后续正确用户的接入。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
权利要求
一种无线局域网WLAN中身份认证的方法,适用于OPEN+WEP认证方式下的无线接入终端STA和接入点AP之间,其特征在于,包括接收来自STA发送的第二认证信息;当确定所述第二认证信息与自身保存的第一认证信息不相同时,断开与所述STA的连接;其中,所述第二认证信息为所述STA对接收到的加密的所述第一认证信息进行解密后所得。
2.根据权利要求1所述的方法,其特征在于,所述当确定所述第二认证信息与自身保 存的第一认证信息不相同时,断开与所述STA的连接,包括当一次确定所述第二认证信息与自身保存的第一认证信息不相同时,断开与所述STA 的连接。
3.根据权利要求1所述的方法,其特征在于,所述当确定所述第二认证信息与自身保 存的第一认证信息不相同时,断开与所述STA的连接,包括当一次确定所述第二认证信息与自身保存的第一认证信息不相同时,再次接收所述 STA发送的第二认证信息,并再次判断所述第二认证信息与自身保存的第一认证信息是否 相同,如此接收、判断循环预设次数次,若两者仍不相同,则断开与所述STA的连接。
4.根据权利要求1所述的方法,其特征在于,在所述接收来自STA发送的第二认证信息 之前,该方法还包括进行WEP加密,得到所述第一认证信息;将所述第一认证信息加密后发送给所述STA,以使所述STA对所述第一认证信息解密 后得到所述第二认证信息。
5.根据权利要求1-4任一所述的方法,其特征在于,所述第一认证信息为第一完整性校验值ICV,所述第二认证信息为第二完整性校验值ICV ;或者,所述第一认证信息为第一明文,所述第二认证信息为第二明文。
6.一种接入点,其特征在于,包括接收单元,用于接收来自无线接入终端STA发送的第二认证信息; 断开判断单元,用于当确定所述第二认证信息与自身保存的第一认证信息不相同时, 断开与所述STA的连接;其中,所述第二认证信息为所述STA对接收到的加密的所述第一认 证信息进行解密后所得。
7.根据权利要求6所述的接入点,其特征在于,所述断开判断单元包括一次断开判断子单元,用于当一次确定所述第二认证信息与自身保存的第一认证信息 不相同时,断开与所述STA的连接。
8.根据权利要求6所述的接入点,其特征在于,所述断开判断单元包括循环断开判断子单元,用于当一次确定所述第二认证信息与自身保存的第一认证信息 不相同时,再次判断所述接收单元接收的第二认证信息与自身保存的第一认证信息是否相 同,如此循环判断预设次数次,若两者仍不相同,则断开与所述STA的连接。
9.根据权利要求6至8中任意一项所述的接入点,其特征在于,所述接入点还包括存储单元,用于保存所述第一认证信息; 加密单元,用于对所述第一认证信息进行加密; 发送单元,用于将所述加密的第一认证信息发送给STA。
10. 一种无线局域网系统,其特征在于,包括接入点,用于接收来自无线接入终端发送的第二认证信息;当确定所述第二认证信息 与自身保存的第一认证信息不相同时,断开与所述无线接入终端的连接;其中,所述第二认 证信息为所述无线接入终端对接收到的加密的所述第一认证信息进行解密后所得;无线接入终端,与所述接入点无线连接,用于接收来自所述接入点的加密的第一认证信息;对所述加密的第一认证信息进行解密得到第二认证信息;将所述第二认证信息发送 给所述接入点。
全文摘要
本发明实施例提供一种无线局域网中身份认证的方法、装置及系统,涉及通信领域,能够及时断开错误的用户连接,释放资源,保证正确用户的接入。无线局域网WLAN中身份认证的方法,适用于OPEN+WEP认证方式下的无线接入终端STA和接入点AP之间,包括接收来自STA发送的第二认证信息;当确定所述第二认证信息与自身保存的第一认证信息不相同时,断开与所述STA的连接;其中,所述第二认证信息为所述STA对接收到的加密的所述第一认证信息进行解密后所得。
文档编号H04W84/12GK101820629SQ20101014729
公开日2010年9月1日 申请日期2010年4月15日 优先权日2010年4月15日
发明者沈凌光 申请人:华为终端有限公司